Senast publicerat 03-11-2021 13:59

Regeringens proposition RP 242/2018 rd Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås att det ska stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Samtidigt upphävs den gällande lagen med samma namn. Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av polisens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning. I propositionen beaktas också de ändringar som skett i polisens verksamhetsmiljö och de behov av att behandla uppgifter som dessa medfört, som i synnerhet gäller behandling av personuppgifter för att förebygga brott. Syftet är dessutom att göra lagens struktur tydligare och enklare, då den har blivit komplicerad. 

Lagen kompletterar Europeiska unionens allmänna dataskyddsförordning och den allmänna lagstiftningen om genomförande av dataskyddsdirektivet avseende brottmål. Bestämmelserna om riksomfattande informationssystem och andra polisens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för utförandet av de uppgifter som avses i polislagen samt innehållet i de personuppgifter som behandlas. Lagen innehåller dessutom bestämmelser om nationellt och internationellt informationsutbyte, radering av uppgifter och arkivering samt tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 

Propositionen innehåller dessutom förslag till ändring av 25 andra lagar. I lagarna föreslås i huvudsak tekniska ändringar som gäller laghänvisningar. 

Lagarna avses träda i kraft så snart som möjligt. Den radering av personuppgifter som avses i lagen ska genomföras i enlighet med lagens krav inom fyra år från ikraftträdandet. 

ALLMÄN MOTIVERING

Inledning

Syftet med denna proposition är att uppdatera lagstiftningen om behandling av personuppgifter inom polisen. I denna proposition föreslås att det ska stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Den nya lagen föreslås ersätta den gällande lagen om behandling av personuppgifter i polisens verksamhet (761/2003, nedan även polisens personuppgiftslag). Dessutom föreslås ändringar i vissa andra lagar där det finns bestämmelser om behandling av personuppgifter. 

Grundlagsutskottet konstaterade i sitt utlåtande GrUU 18/2012 om regeringspropositionen om ändring av lagen om behandling av personuppgifter i polisens verksamhet (RP 66/2012 rd) att polisens personuppgiftslag bl.a. som en följd av de många ändringarna och tilläggen har blivit mycket komplicerad till såväl struktur som innehåll. Lagen innehåller också onödiga överlappningar med allmänna lagar och vissa andra lagar. Utskottet anser att statsrådet har anledning att överväga en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet senast när det slutliga innehållet i den kommande EU-regleringen om dataskydd klarnar. 

I riksdagens svar (RSv 216/2013 rd) på regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om behandling av personuppgifter i polisens verksamhet och lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt av vissa lagar som har samband med dem förutsatte riksdagen att regeringen snarast möjligt påbörjar en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande FvUB 26/2013 rd och vid behovet att utveckla tillsynen över polisens register. Riksdagen förutsatte dessutom att även bestämmelserna i lagen om behandling av personuppgifter vid gränsbevakningsväsendet ska justeras på samma gång. 

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Dataskyddsförordningen började tillämpas den 25 maj 2018, och den utsatta tiden för det nationella genomförandet av dataskyddsdirektivet var den 6 maj 2018. 

Inrikesministeriet tillsatte den 28 januari 2016 ett lagstiftningsprojekt i syfte att revidera polisväsendets personuppgiftslag. Det centrala målet med projektet är att totalrevidera polisens personuppgiftslag på så sätt att den svarar mot EU:s dataskyddslagstiftning som är föremål för revidering, med beaktande av behoven i brottsbekämpningen och de krav som följer av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna. 

Nuläge

2.1  Lagstiftning och praxis

2.1.1  2.1.1 Allmänt

Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Utgångspunkten för skyddet för privatlivet är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående (RP 309/1993 rd). Ur skyddet för privatlivet har traditionellt härletts skyldighet för staten att såväl själv avstå från att kränka medborgarnas privatliv som att aktivt agera mot kränkningar av privatlivet. 

Närmare bestämmelser om skydd för personuppgifter utfärdas enligt 10 § 1 mom. i grundlagen genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme begränsas både av den här bestämmelsen och av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment. Lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som helhet. Grundlagsutskottet har i sin praxis ansett att det är viktigt med tanke på skyddet för personuppgifter att reglera åtminstone registreringens syfte, innehållet i de registrerade personuppgifterna och tillåtna användningsändamål, vilket inbegriper uppgifternas överlåtbarhet och bevaringstiden för uppgifterna i personregistren, samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara omfattande och detaljerad. Grundlagsutskottet har i sin färska praxis ansett att inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (t.ex. GrUU 26/2018 rd, s. 4, GrUU 14/2018 rd, s. 7 och GrUU 2/2018 rd, s. 4—8). EU:s dataskyddsreform behandlas närmare senare i texten. 

På myndigheternas behandling av personuppgifter i brottmål tillämpas som allmän lag också lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Med tanke på behandlingen av personuppgifter är i synnerhet bestämmelserna om sekretess för uppgifterna i offentlighetslagen av betydelse. Med stöd av offentlighetslagen fastställs också en parts rätt att ta del av en handling. 

Bestämmelser om polisens befogenheter att inhämta och lämna ut personuppgifter finns i samma författningar som när det gäller polisens övriga befogenheter. Bestämmelser om polisens befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara finns i polislagen (872/2011). Befogenheter att inhämta information för att utreda brott föreskrivs i tvångsmedelslagen (806/2011) och förundersökningslagen (805/2011). Lagstiftning om polisens befogenheter ingår också i annan speciallagstiftning som gäller polisens uppgifter. 

2.1.2  2.1.2 Polisens personuppgiftslag

Polisens personuppgiftslag är en speciallag som vid sidan om de allmänna lagarna om behandling av personuppgifter tillämpas på behandling av personuppgifter i polisens verksamhet. I lagen föreskrivs om innehållet i de personuppgifter som registreras i polisens informationssystem och om principerna för behandlingen av uppgifterna. Lagen innehåller bestämmelser om bl.a. användningen av uppgifter i polisens informationssystem, nationellt och internationellt informationsutbyte, radering av uppgifter och arkivering samt tillgodoseende av den registrerades rätt till insyn och vissa inskränkningar av den registrerades rättigheter. 

Allmänna bestämmelser (1 kap.) 

I detta kapitel föreskrivs om lagens tillämpningsområde. Lagens tillämpningsområde omfattar automatisk behandling av personuppgifter som behövs för skötseln av de uppgifter som avses i 1 kap. 1 § i polislagen och på annan behandling av personuppgifter, då de utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 

Enligt 1 kap. 1 § i polislagen är det polisens uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning. Polisen ska upprätthålla säkerheten i samarbete med andra myndigheter samt med sammanslutningar och invånarna och sköta det internationella samarbete som hör till dess uppgifter. Enligt 1 kap. 1 § 2 mom. i polislagen ska polisen dessutom sköta uppgifter i samband med tillståndsförvaltningen och andra uppgifter som uttryckligen föreskrivs i lag samt inom ramen för sina uppgifter ge var och en den hjälp som han eller hon behöver. Om det finns grundad anledning att anta att en person har försvunnit eller råkat ut för en olycka ska polisen vidta de åtgärder som behövs för att finna personen. 

Polislagens 1 kap. 1 § 3 mom. innehåller hänvisningar till förundersökningslagen, där det föreskrivs om förundersökning av brott samt till tvångsmedelslagen, där det föreskrivs om tvångsmedel som kan användas i förundersökningen av brott. 

På polisens personregister och automatisk behandling av personuppgifter i polisens verksamhet tillämpas i andra hand den allmänna personuppgiftslagen (523/1999) samt offentlighetslagen. I 1 § i polisens personuppgiftslag finns en informativ hänvisning till en subsidiär tillämpning av de två allmänna lagarna. I paragrafen hänvisas av informativa skäl även till internationella avtal som är bindande för Finland. Exempel på sådana avtal är konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter och Schengenkonventionen. 

Polisens informationssystem (2 kap.) 

Allmänt 

I 2 kap. finns bestämmelser om polisens riksomfattande informationssystem, polisens övriga personregister, den registeransvarige (personuppgiftsansvarige) samt inrättande av personregister. I 9 § ingår dessutom hänvisningsbestämmelse till lagen om nödcentralsverksamhet (692/2010) samt lagen om utlänningsregistret (1270/1997). 

Polisen använder sig av flera personregister där man samlar känsliga eller sekretessbelagda uppgifter, och med tanke på polisens verksamhet och medborgarnas rättsskydd är det viktigt att dessa skyddas. De informationssystem som polisen använder är från olika tidsperioder och bygger på olika tekniska lösningar. Informationssystemen skyddas med olika säkerhetsmekanismer, som förvaltas som helhet via de olika delområdena av informationssäkerheten. Säkerheten är en ständig process, vars kontroll grundar sig på en enhetlig politik, principer om informationssäkerhet och anvisningar som baserar sig på dessa. 

I polisens personuppgiftslag föreskrivs också om informationssystem i anknytning till polisens internationella samarbete. Många speciallagar som gäller polisens verksamhetsområde innehåller dessutom bestämmelser om enskilda personregister som polisen använder eller om skyldigheten att administrera filer som innehåller personuppgifter. Denna typ av registerspecifika bestämmelser finns t.ex. i lagen om centralen för utredning av penningtvätt (445/2017), där det föreskrivs om penningtvättsregistret, i lagen om vittnesskyddsprogram (88/2015), där det föreskrivs om registret över vittnesskyddsprogram, i passlagen (671/2006), där det föreskrivs om passregistret, samt i skjutvapenlagen (1/1998), där det föreskrivs om polisens skyldighet att föra sådana register som behövs för skötseln av tillstånds- och tillsynsuppgifterna. Dessutom innehåller lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009, nedan PTG-lagen) bestämmelser om behandlingen av uppgifter i ett s.k. tillfälliga register för brottsanalys, som var och en av dessa samarbetsmyndigheter kan inrätta med stöd av sin egen speciallagstiftning om behandling av personuppgifter. 

Informationssystemet för polisärenden 

Informationssystemet för polisärenden är ett riksomfattande informationssystem som inrättats för utförande av de uppgifter som föreskrivs för polisen i 1 kap. 1 § 1 mom. i polislagen. Bestämmelser om informationssystemet för polisärenden finns i 2 § i polisens personuppgiftslag. Bland undersöknings- och handräckningsuppgifterna i informationssystemet för polisärenden antecknas bl.a. anmälningar som gjorts till polisen och de åtgärder som vidtagits till följd av en anmälan. När någon anmäler ett brott eller en händelse som han eller hon misstänker vara ett brott till en förundersökningsmyndighet, ska myndigheten registrera anmälan utan dröjsmål. Om anmälan är oklar eller bristfällig ska den som gjort anmälan vid behov uppmanas att precisera eller komplettera den (förundersökningslagen, 3 kap. 1 §). Förutom anmälningar om brott registreras bl.a. handräcknings-, polisundersöknings- och utlänningsärenden i systemet. Med polisundersökning avses annan undersökning som polisen enligt lag ska företa än förundersökning med anledning av brott. 

Informationssystemet för polisärenden utgörs av olika typer av information. Utgående från användarnas behov har flera olika kategorier skapats för användningen av dessa. Användarrättigheterna består av flera olika användarroller, och ju fler roller användaren har desto mer omfattande är användarrättigheterna. Användarna ansöker om och beviljas rättigheter enligt arbetsuppgifter, behov och särskild ansökan. Förteckningarna över det datainnehåll som registreras i systemet har lagtekniskt utarbetats på det uttömmande sätt som krävs enligt utlåtandet GrUU 18/2012 och betänkandet FvUB 26/2013 rd av riksdagens utskott. 

I samband med den lagändring som trädde i kraft 2014 justerades det datainnehåll som registreras i systemet till vissa delar så att det motsvarar de funktionella behoven. Dessutom infördes som en betydande ändring av lagen den nya 2 § 3 mom. 11 punkten som gäller registrering av observationsuppgifter. Med stöd av 11 punkten kan man i informationssystemet för polisärenden lagra uppgifter om observationer som gjorts av poliser eller uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt med fog kan bedömas ha samband med brottslig verksamhet. Villkoren för lagring i informationssystemet är lägre i fråga om dessa observationsuppgifter än i fråga om de uppgifter som ska lagras om misstänkta och som behandlas nedan i avsnittet Bedömning av nuläget. Grundlagsutskottet ansåg i sitt utlåtande (GrUU 18/2012 rd) att när regleringen begränsas på detta sätt i fråga om informationsinnehåll, användningsändamål och förvaringstid blir den inte problematisk med avseende på skyddet för personuppgifter. Med tanke på observationsuppgifternas natur är det ändå viktigt att villkoren för lagring av uppgifter tolkas strikt och i synnerhet så att observationsuppgifter kan lagras endast om det finns misstanke om anknytning till kriminell verksamhet. Dessutom måste strävan vara att om möjligt kontrollera de uppgifter som lagras och komplettera dem med en utvärdering av tillförlitlighet och riktighet. 

Totalreformen av polisens system för verksamhetsstyrning, det s.k. Vitja-projektet, förenhetligar och effektiviserar polisens och de övriga säkerhetsmyndigheternas och rättsliga myndigheternas operativa informationssystem. Målet med systemet är att harmonisera förundersökningsmyndigheternas arbetsprocesser och att förnya och slå samman polisens nuvarande operativa system till en ur användarens synvinkel enhetlig och informationssäker systemhelhet. Även den registrerades rättsskydd beaktas i och med den enhetliga registreringsplattformen. Det nya informationssystemet används förutom av polisen även av de övriga förundersökningsmyndigheterna i Finland (Tullen, Gränsbevakningsväsendet och Försvarsmakten) samt av skyddspolisen som är säkerhetsmyndighet och vars roll behandlas längre fram i propositionen. Utöver dessa finns det flera myndigheter som använder systemet genom förfrågningar. I januari 2014 togs behandlingssystemet för signalementsuppgifter för registrerade i bruk. Ibruktagandet av polisens underrättelsesystem, där behandling av observationsuppgifter ingår, bereds. Beslut om senare faser för ibruktagandet fattas separat. 

Informationssystemet för förvaltningsärenden 

Informationssystemet för förvaltningsärenden är ett riksomfattande personregister som inrättats för utförande av de uppgifter som föreskrivs för polisen i 1 kap. 1 § 2 mom. i polislagen. Bestämmelser om de uppgifter som ska registreras i systemet finns i 3 § i polisens gällande personuppgiftslag. I likhet med informationssystemet för polisärenden utgörs även innehållet i informationssystemet för förvaltningsärenden av olika typer av information. I 3 § finns en uttömmande förteckning över de uppgifter som ska registreras i systemet på det sätt som förutsätts i riksdagens utskottsutlåtande och utskottsbetänkande (GrUU 18/2012 rd och FvUB 26/2013 rd). Uppgifterna i informationssystemet för förvaltningsärenden lagras i flera olika registerapplikationer, för vilka användarrättigheterna beviljas på ansökan på grundval av arbetsuppgifterna. Flera av registertillämpningarna för informationssystemet för förvaltningsärenden har förnyats under de senaste åren. För närvarande pågår en reform av vapenregistersystemet. Målet är att den första fasen av systemet ska införas 2020. 

Förteckningen över de informationsinnehåll som ska lagras i informationssystemet för förvaltningsärenden har i flera etapper justerats för att svara mot de förändringar som skett i polisens tillståndsförvaltningsuppgifter. I den lagändring som trädde i kraft vid ingången av 2014 uppdaterades förteckningen i fråga om grundläggande personuppgifter som registreras i systemet och i 3 § 3 mom. 1 punkten utökades förteckningen om uppgifter om vapentillstånd med tidpunkten för lämplighetstestet. Till 3 mom. fogades dessutom en ny 8 punkt om lagring av uppgifter för tillsynen över penninginsamlingar och en ny 9 punkt om lagring av uppgifter om lotteritillstånd. Andra betydande ändringar som kan nämnas är att en ny punkt 4, som gäller fingeravtrycksuppgifter i pass, fogades till momentet år 2014, att uppgifterna om vapentillstånd kompletterades med uppgifterna i en sådan skjutvapenanmälan som avses i 114 § i skjutvapenlagen år 2015, och att 5 punkten, som gällde lagring av uppgifter om säkerhetsutredningar som görs av den lokala polisen, upphävdes år 2015 i samband med att den nya säkerhetsutredningslagen (726/2014) stiftades. 

Förutom säkerhetsutredningarna har också körtillståndsärendena och utlänningsärendena överförts på andra myndigheter medan polisen koncentrerar sig på tillståndsärenden som är viktigare med tanke på den allmänna ordningen och säkerheten. Dessa ändringar har emellertid inte påverkat polisens personuppgiftslag, eftersom de personuppgifter som gäller tillstånden i fråga inte har lagrats i polisens informationssystem för förvaltningsärenden. 

Informationssystemet för misstänkta 

Bestämmelser om informationssystemet för misstänkta finns i 4 § i den gällande lagen. I informationssystemet kan registreras information som för skötseln av uppgifter enligt polislagen inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser och som gäller personer som skäligen kan misstänkas göra eller ha gjort sig skyldiga till ett brott på vilket kan följa fängelse, eller medverka eller ha medverkat till ett brott på vilket kan följa fängelse i mer än sex månader, eller till straffbart bruk av narkotika. Endast polispersonal som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppgifter samt de kontaktpersoner som polisen sänt utomlands har genom teknisk anslutning tillgång till informationssystemet för misstänkta. Med stöd av lagens 45 § 1 mom. gäller de registrerades rätt till insyn inte uppgifterna i informationssystemet för misstänkta. Ur informationssystemet för misstänkta kan uppgifter lämnas ut genom teknisk anslutning också till Gränsbevakningsväsendet och Tullen. Polisstyrelsen har med stöd av 4 § polisförvaltningslagen (110/1992) och polisens personuppgiftslag utfärdat en anvisning om behandlingen av uppgifter som gäller informationssystemet för misstänkta (POL-2016-18786). Anvisningen är offentlig och gäller 1.4.2017—31.3.2021. 

Gränsbevakningsväsendet använder Gränsbevakningsväsendets register över personer misstänkta för brott, som tekniskt har förverkligats inom informationssystemet för misstänkta, och Tullen använder underrättelseregistret på motsvarande sätt. 

Skyddspolisens funktionella informationssystem 

Skyddspolisen har enligt 10 § i polisförvaltningslagen till uppgift att bekämpa förehavanden och brott som kan äventyra stats- och samhällsskicket eller rikets inre eller yttre säkerhet samt att utföra undersökning av sådana brott. Skyddspolisen ska även upprätthålla och utveckla en allmän beredskap för att förebygga verksamhet som äventyrar rikets säkerhet. 

Bestämmelser om skyddspolisens funktionella informationssystem finns i 5 § i polisens personuppgiftslag. Personuppgifter som skyddspolisen behandlar förs in i informationssystemet, om lagringen av uppgifter uppfyller de villkor som anges i lagen. Det ska enligt 5 § vara fråga om uppgifter som behövs för att förebygga och utreda förehavanden eller brott som äventyrar rätts- och samhällsordningen eller statens säkerhet. Paragrafen innehåller en uttömmande förteckning över uppgifter som gäller en persons identitet på det sätt som förutsätts i riksdagens utskottsutlåtande och utskottsbetänkande (GrUU 18/2012 rd och FvUB 26/2013 rd). 

Den personuppgiftsansvarige för skyddspolisens funktionella informationssystem är skyddspolisen. Skyddspolisen är också personuppgiftsansvarig för registret över säkerhetsutredningar. Bestämmelser om registret över säkerhetsutredningar finns separat i säkerhetsutredningslagen. 

Skyddspolisen kan med stöd av lagens 10 § behandla känsliga uppgifter som är nödvändiga för att skyddspolisen ska kunna utföra sitt uppdrag. Uppgifter som kan vara av betydelse med avseende på uppdragens karaktär och utförandet av dem kan vara uppgifter om en persons samhälleliga eller politiska uppfattning eller religiösa övertygelse. 

Polisens övriga personregister 

Bestämmelser om polisens övriga personregister finns i 6 § i polisens personuppgiftslag. Med stöd av paragrafens 1 mom. kan det förutom de permanenta riksomfattande informationssystem som förs med hjälp av automatisk databehandling finnas temporära eller manuella personregister för polisens bruk. 

Med stöd av 2 mom. kan det även inrättas andra personregister avsedda för en eller flera polisenheters bruk. Enligt 2 mom. 2 punkten är det bl.a. möjligt att inrätta ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda ett sådant brott eller en brottshelhet bestående av sådana brott som kan leda till fängelse, i vilket får samköras, lagras och annars behandlas uppgifter i de informationssystem som avses i 2—4 §, uppgifter som i samband med utförandet av ett enskilt polisuppdrag har inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser, samt uppgifter som avses i 14 § 1 mom. 2 och 4 punkten. Bestämmelsen ändrades genom lagändring 1181/2013 som trädde i kraft vid ingången av 2014 på så sätt att där infördes möjlighet att inrätta ett temporärt register utöver för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda ett enskilt brott också i fråga om en brottshelhet. 

Specialbestämmelser om behandling av personuppgifter (3 kap.) 

I lagens 10 § föreskrivs om ett undantag till förbudet att behandla känsliga uppgifter enligt 11 § i personuppgiftslagen. Bestämmelser om skydd av identifieringsuppgifter som grundar sig på fysiska egenskaper finns i 10 a §. Paragrafen fogades till lagen i samband med en ändring i passlagen, eftersom det då ansågs att införandet av biometriska identifieringsuppgifter (fingeravtryck) i ett register uttryckligen förutsatte att kraven på informationssäkerhet beaktas i lagstiftningen. 

I lagens 11 § föreskrivs om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder. Genom den lagändring som trädde i kraft vid ingången av 2014 preciserades grunderna för registrering av uppgifter samt föreskrevs i vilka register uppgifterna får registreras. När det gäller användning av överskottsinformation hänvisas det i 11 § 2 mom. till paragraferna i polislagen och tvångsmedelslagen. Ur perspektivet för den myndighet som tillämpar lagen är det viktigt att grunderna för registreringen av uppgifter är enhetliga oberoende av om uppgifterna har inhämtats på de grunder som fastställs i polis- eller tvångsmedelslagen eller med vilken hemlig informationsinhämtningsmetod uppgifterna i praktiken har inhämtats. 

I 12 § föreskrivs om behandling av uppgifter som inte hänför sig till ett visst uppdrag och i 13 § föreskrivs om polisens rätt att få uppgifter ur vissa register. På grund av lagändringar bygger systematiken i 13 § dels på hänvisningar till olika lagar, dels på föreskrifter om för vilka ändamål polisen har rätt att få uppgifter. 

Polisens informationssystem används förutom av polisen också av många andra myndigheter. I 14 § föreskrivs om utlämnande av vissa andra myndigheters uppgifter till polisen genom registrering vid direkt anslutning eller för registrering som en datamängd. 

Användning och utlämnande av uppgifter (4 kap.) 

I detta kapitel föreskrivs om användning och utlämnande av uppgifter ur polisens personregister. Enligt 15 § är det möjligt att använda uppgifter för det ändamål som uppgifterna har samlats in och registrerats för. De riksomfattande personregistren får användas av alla polisenheter, med undantag av Polisyrkeshögskolan. Ett enhetsspecifikt register får endast användas av de polisenheter som det inrättats för. 

Uppgifter kan under vissa i 16 § angivna förutsättningar också användas för andra ändamål än de som uppgifterna samlats in och registrerats för. I bestämmelserna om användning av uppgifter iakttas den förpliktande principen om ändamålsbegränsning som fastställs i 7 § i den allmänna personuppgiftslagen. 

I samband med revideringen av passlagen år 2009 fogades till lagen en särskild bestämmelse om användning av fingeravtrycksuppgifter i pass för andra ändamål än de som uppgifterna har samlats in och registrerats för (lagens 16 a §). Fingeravtrycksuppgifter får användas för andra ändamål än de som uppgifterna har samlats in och registrerats för endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller för ett brott eller ett offer som annars förblivit oidentifierat. Genom den ändring av lagen som trädde i kraft 2014 utvidgades 16 a § till att gälla också fingeravtrycksuppgifter som hör till uppgifterna för identifiering av utlänningar, vars ursprungliga ändamål med insamlingen och registreringen föreskrivs i 131 § i utlänningslagen (301/2004). 

I 17 § föreskrivs om utlämnande av uppgifter till en annan polisenhet för det ändamål som uppgifterna har samlats in och registrerats för och i 18 § om utlämnande av uppgifter till en annan polisenhet för andra ändamål än de som uppgifterna har samlats in och registrerats för. Lagens 19 § innehåller bestämmelser om utlämnande av uppgifter till andra myndigheter. Liksom 13 §, som gäller rätten att få uppgifter, bygger också 19 § dels på hänvisningar till andra lagar, dels på föreskrifter om de ändamål som uppgifter kan utlämnas för. 

Utplåning och arkivering av uppgifter (5 kap.) 

I lagens 22—26 § föreskrivs om utplåning och arkivering av uppgifter i polisens personregister i enlighet med de enskilda informationssystemen. Bestämmelserna om utplåning motsvarar till sin systematik bestämmelserna om registrering av uppgifter. 

Genom lagändringarna 2013 ändrades bestämmelserna om radering av personuppgifter i linje med förändringarna i omvärlden. Uppgifterna i polisens informationssystem ska enligt motiveringen till ändringarna bevaras enligt vad användningsbehovet kräver, med beaktande av kraven på rättssäkerhet för den registrerade, någon annan part eller en person som hör till polispersonalen (RP 66/2012 rd, s. 1). De ändringar som trädde i kraft vid ingången av 2014 ansågs på grund av de stora kostnaderna inte längre vara ändamålsenliga att genomföra i det gamla informationssystemet för polisärenden. Av denna orsak infördes en övergångsbestämmelse i lagens ikraftträdandebestämmelse, enligt vilken den databehandling som avses i lagen ska genomföras i enlighet med lagen inom fyra år från ikraftträdandet av lagen. Övergångstiden för utplåning av uppgifter ur informationssystemet för polisärenden i enlighet med den gällande 22 § förlängdes med två år till den 1 januari 2020 genom lagändring 1052/2017. 

Observationsuppgifter får bevaras sex månader i informationssystemet för polisärenden. Enligt 24 § ska uppgifter ur informationssystemet för misstänkta utplånas då tio år har förflutit sedan den sista uppgiften om ett misstänkt brott infördes. 

I 27 § föreskrivs om uppgifter som konstaterats vara felaktiga. Trots bestämmelserna i personuppgiftslagen får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. En sådan uppgift får användas endast i detta syfte. Lagens 28 § innehåller bestämmelser om arkivering av uppgifter och hänvisningar till arkivlagen (831/1994). 

Specialbestämmelser om behandling av personuppgifter i samband med internationellt polissamarbete (6 kap.) 

Strukturen för bestämmelserna om behandling av personuppgifter i samband med internationellt polissamarbete reviderades i sin helhet 2013 (RP 66/2012 rd). Bestämmelserna ändrades i enlighet med vad som förutsattes i internationella författningar. Till lagen fogades också nya bestämmelser om behandling av uppgifter som fås från utlandet. Lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet preciserades för att motsvara ändringarna i polisens personuppgiftslag. 

Lagens 6 kap. innehåller specialbestämmelser om behandling av uppgifter i samband med internationellt polissamarbete. Enligt 29 § får uppgifter lämnas ut till en medlemsstat i Europeiska unionen och under vissa i 30 § angivna förutsättningar även till stater utanför Europeiska unionen. I 31 § föreskrivs om behandling av uppgifter som fåtts från en annan stat eller ett internationellt organ. Separata bestämmelser om Schengens informationssystem finns i 32—37 §. Kapitlet innehåller dessutom hänvisningsbestämmelser till Europols informationssystem (38 §), Eurodacförordningen (39 §), behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet (40 §), lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) (41 §) samt Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (42 §). 

Den registrerades rättigheter (7 kap.) 

I 43 § föreskrivs om polisens allmänna skyldighet att informera om behandling av uppgifter. Polisens skyldighet att fullgöra sin informationsskyldighet enligt 24 § 1 mom. i personuppgiftslagen har i 43 § begränsats till att gälla situationer där personuppgifter samlats in för skötseln av de uppgifter som avses i 1 kap. 1 § 2 mom. i polislagen. Motsvarande informationsskyldighet gäller inte vid behandling av uppgifter som behövs för skötseln av uppgifter som avses i 1 kap. 1 § 1 mom. i polislagen. 

I 44 och 47 § föreskrivs om den registrerades rätt till insyn. Enligt 44 § tillämpas i fråga om utövande av rätten till insyn 26 och 28 § i personuppgiftslagen. Med avvikelse från kraven i personuppgiftslagen ska en registrerad som vill utöva sin rätt till insyn dock på förhand framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan av denna utsedd polisenhet samt styrka sin identitet. En begäran om kontroll som gäller Schengens informationssystem kan enligt 47 § framställas antingen till en polisinrättning eller till dataombudsmannen. 

Bestämmelser om inskränkningar av rätten till insyn finns i 45 §. På inskränkningarna i rätten till insyn tillämpas de inskränkningsgrunder som fastställs i 27 § personuppgiftslagen. Paragrafens 1 mom. innehåller dessutom en förteckning över de register och typer av information som den registrerades rätt till direkt insyn inte gäller. På dessa uppgifter tillämpas emellertid en indirekt rätt till insyn; dataombudsmannen kan på begäran av den registrerade kontrollera att uppgifterna är lagenliga. 

Polisstyrelsen har den 23 januari 2012 utfärdat en anvisning om hur den registrerades rättigheter ska tillgodoses hos polisen (Tillgodoseendet av den registrerades rättigheter hos polisen: rätt till insyn, rättelse av uppgift och information 2020/2012/66). Enligt denna anvisning kan den registrerade framställa en begäran om tillgodoseende av sina rättigheter antingen hos den personuppgiftsansvarige eller hos vilken polisinrättning som helst. 

Särskilda bestämmelser (8 kap.) 

Lagens 47 a § gäller skyddsåtgärder i civilrättsliga frågor, i fråga om vilka det på behandlingen av de anknytande personuppgifterna i enlighet med bestämmelsen ska tillämpas samma bestämmelser i polisens personuppgiftslag som när det gäller besöksförbud. I 48 § föreskrivs om utfärdande av närmare bestämmelser och anvisningar. Sådana förordningar av statsrådet som avses i bestämmelsen har inte utfärdats. Lagens 49 § är en ikraftträdandebestämmelse. 

2.2  Den internationella utvecklingen samt lagstiftningen i utlandet och i EU

2.2.1  2.2.1 EU:s dataskyddslagstiftning

Rätten till skydd av personuppgifter är en grundläggande rättighet som fastställs i artikel 16.1 i fördraget om Europeiska unionens funktionssätt samt i artikel 8 i EU:s stadga om de grundläggande rättigheterna, enligt vilken var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. I artikel 7 i stadgan om de grundläggande rättigheterna tryggas skyddet för privatlivet. Enligt artikeln har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Personuppgiftsskyddet har också beröringspunkter med de övriga grundläggande rättigheterna som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna. 

Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. 

Europeiska kommissionen lade den 29 januari 2012 fram ett förslag till dataskyddsdirektiv COM (2012) 10 slutlig och dataskyddsförordning COM (2012) 11 slutlig. Reformförslaget innehöll ett förslag till direktiv, genom vilket bestämmelserna om skydd av personuppgifter i situationer där de behandlas för att förhindra, utreda, eller lagföra brott eller verkställa straffrättsliga påföljder (dataskyddsdirektivet) stärks och ett förslag till förordning genom vilken EU:s allmänna ram för dataskydd (dataskyddsförordningen) stärks. Dessa akter utfärdades den 27 april 2016. Den nya EU-lagstiftningen om dataskydd grundar sig på artikel 16.2 i fördraget om Europeiska unionens funktionssätt, som är den nya rättsliga grund för lagstiftning om personuppgiftsbehandling som införts genom Lissabonfördraget. Enligt den kan unionen utfärda lagstiftning om behandling av personuppgifter inom de områden som omfattas av unionsrättens tillämpningsområde. Syftet med lagstiftningsreformen har varit att skapa en tidsenlig, stark, enhetlig och heltäckande ram för dataskyddet inom Europeiska unionen, stärka individens rättigheter och inremarknadsaspekten, justera de dataskyddsbestämmelser som gäller polissamarbete och straffrättsligt samarbete, beakta dataskyddets globala räckvidd i synnerhet när det gäller digitala tjänster samt effektivisera tillsynen över genomförandet av dataskyddsbestämmelserna. 

De bestämmelser i dataskyddsförordningen och dataskyddsdirektivet som gäller allmänna principer för behandling av personuppgifter, personuppgiftsansvariga och behandling av personuppgifter samt dataskyddsmyndigheter motsvarar i huvudsak varandra. Syftet är att på detta sätt säkerställa att de allmänna kraven på behandling av personuppgifter är så enhetliga som möjligt, oberoende av medlemsstat eller personuppgiftsansvarig. De väsentligaste skillnaderna mellan rättsakterna ligger i att den behandling av personuppgifter som utförs av myndigheter inom direktivets tillämpningsområde har den särskilda karaktären av brottmål, i synnerhet till den del det är fråga om möjligheterna att inskränka den registrerades rättigheter i sådana fall som hör till direktivets tillämpningsområde. 

Dataskyddsförordningen 

Dataskyddsförordningen är en allmän rättsakt för behandling av personuppgifter och är direkt tillämplig lagstiftning i medlemsstaterna. Tillämpningen av dataskyddsförordningen inleddes den 25 maj 2018. Utanför dataskyddsförordningens tillämpningsområde har i artikel 2.2 a i förordningen avgränsats sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU:s lagstiftning. Dataskyddsförordningen tillämpas inte heller på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. På behandling av personuppgifter för de nämnda syftena tillämpas dataskyddsdirektivet. 

I artikel 5 i dataskyddsförordningen föreskrivs det om principer för behandling av personuppgifter. Dessa är krav på att personuppgifterna ska behandlas lagligt, korrekt och öppet, krav på ändamålsbegränsning, uppgiftsminimering, korrekthet och lagringsminimering. Artikel 6 i dataskyddsförordningen innehåller bestämmelser om laglig behandling av personuppgifter. De mest centrala grunderna för myndigheternas behandling av personuppgifter är i enlighet med artikel 6.1 för att fullgöra en rättslig förpliktelse (6.1 c), för att utföra en uppgift av allmänt intresse (6.1 e) och den personuppgiftsansvariges myndighetsutövning (6.1 e). 

Dataskyddsförordningen innehåller i någon mån. nationellt handlingsutrymme. Genom nationell lag kan preciseras den rättsliga grunden för behandlingen av personuppgifter och innehållet i behandlingen samt t.ex. möjligheten att under vissa förutsättningar göra undantag från den registrerades rättigheter. När den nationella speciallagstiftningen bedöms måste man i det inledande skedet försäkra sig om att lagstiftningen är möjlig inom ramarna för det nationella handlingsutrymme som dataskyddsförordningen medger. Vid denna bedömning ska särskilt fästas uppmärksamhet vid den rättsliga grunden för behandlingen av personuppgifter. I det följande skedet ska det bedömas huruvida den nationella speciallagstiftningen är nödvändig för att komplettera bestämmelserna i dataskyddsförordningen. Om den nationella speciallagstiftningen är nödvändig, ska man i det tredje skedet ytterligare förvissa sig om att den nationella speciallagstiftningen också till övriga delar överensstämmer med dataskyddsförordningen. 

Dataskyddsförordningen kompletteras av dataskyddslagen (RP 9/2018 rd). Lagen innehåller bestämmelser om bl.a. laglig behandling av personuppgifter, behandling av särskilda kategorier av personuppgifter, tillsynsmyndigheten och tillsynsmyndighetens uppgifter och befogenheter, rättssäkerhet och påföljder, behandling av personbeteckningar samt behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål. 

Dataskyddslagen tillämpas i enlighet med dataskyddsförordningens bestämmelse om tillämpningsområdet. Med stöd av dataskyddslagen tillämpas dataskyddsförordningen, med undantag för vissa bestämmelser i den, även på exempelvis sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för Europeiska unionens lagstiftning, om inte något annat föreskrivs någon annanstans i lag. Dataskyddslagen tillämpas dock inte på sådan behandling av personuppgifter om vilken det föreskrivs i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd, nedan dataskyddslagen avseende brottmål). 

Dataskyddsdirektivet 

Dataskyddsdirektivet gäller behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Genom dataskyddsdirektivet upphävdes rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (nedan dataskyddsrambeslutet). Dataskyddsdirektivet är mer detaljerat än dataskyddsrambeslutet och direktivet tillämpas också på behandling av personuppgifter inom en medlemsstat. Utanför tillämpningsområdet också för dataskyddsdirektivet har avgränsats behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. 

Enligt artikel 4 i direktivet ska medlemsstaterna föreskriva bl.a. att personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. Enligt förordningen ska personuppgifterna vara korrekta och om nödvändigt uppdaterade. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål. 

I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Artikel 20 innehåller bestämmelser om inbyggt dataskydd och bl.a. uppgiftsminimering. 

Enligt skäl 26 till direktivet bör de specifika ändamål som personuppgifterna behandlas för vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata och relevanta för de ändamål som de behandlas för. Det bör i synnerhet säkerställas att de uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna behandlas. 

Dataskyddsdirektivet genomförs nationellt genom dataskyddslagen avseende brottmål. Lagen ska tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om 1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, 2) åtalsprövning och annan åklagarverksamhet som har samband med brott, 3) handläggning av brottmål i domstol, 4) verkställighet av straffrättsliga påföljder, eller 5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten. Dessutom tillämpas lagen när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållandet av den nationella säkerheten. 

Utöver allmänna bestämmelser (1 kap.) innehåller dataskyddslagen avseende brottmål bestämmelser om principer för behandling av personuppgifter (2 kap.), personuppgiftsansvarig och personuppgiftsbiträde (3 kap.), de registrerades rättigheter (4 kap.), informationssäkerhet (5 kap.), dataskyddsombud (6 kap.), överföringar av personuppgifter till tredjeländer och internationella organisationer (7 kap.), tillsynsmyndighet (8 kap.), rättsskydd (9 kap.), skadestånd, straff och tystnadsplikt (10 kap.) samt ikraftträdande och övergångsperiod för logguppgifter (11 kap.). Avsikten är att den allmänna lagen ska kompletteras med speciallagstiftning för de olika förvaltningsområdena. Speciallagstiftningen ska i behövlig utsträckning innehålla närmare bestämmelser t.ex. om vilka personuppgifter som registreras, deras användningsändamål, utlämnande av personuppgifter och hur länge uppgifterna bevaras (RP 31/2018 rd, s. 75). 

2.2.2  2.2.2 Europarådets konventioner

Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (FördrS 19/1990, nedan Europakonventionen) har var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentliga myndigheter får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. 

Fastän skydd för personuppgifter inte nämns för sig i artikeln, har skyddet för personuppgifter i Europeiska människorättsdomstolens rättspraxis ansetts vara en väsentlig del av det i artikel 8 angivna skyddet för privat- och familjelivet. Å andra sidan inverkar skyddet för personuppgifter på utövandet av den yttrandefrihet som avses i artikel 10 i Europakonventionen. I Europeiska människorättsdomstolens avgöranden har det betonats bl.a. att lagstiftningen bör innehålla lämpliga garantier för att personuppgifter inte behandlas i strid med artikel 8. De behandlade personuppgifterna ska vara behövliga samt både till sitt innehåll och till sin bevaringstid begränsade med tanke på ändamålet med registreringen. Regleringen ska också innehålla tillräckliga garantier genom vilka olaglig användning av personuppgifterna förhindras. 

I skäl 68 till dataskyddsdirektivet hänvisas till Europarådets konvention 108 om skydd för enskilda vid automatiserad databehandling av personuppgifter som antogs år 1981. Europarådets konvention och lagen om godkännande av vissa bestämmelser i den (269/1992) har i Finland satts i kraft genom en förordning (36/1992). I situationer mellan medlemsstaterna i Europeiska unionen tillämpas i första hand EU:s dataskyddslagstiftning, men alla EU-medlemsstater har ratificerat konvention nr 108. Totalt har konventionen hittills ratificerats av 50 stater. Till konventionen har fogats ett tilläggsprotokoll (nr 181) om gränsöverskridande överföringar av personuppgifter. Bestämmelserna i konventionen erbjuder ett minimiskydd vid behandlingen av personuppgifter för alla personer som vistas i de stater som ratificerat den samt vid gränsöverskridande överföringar av personuppgifter. När det gäller överföring av personuppgifter tillämpas Europarådets konvention utöver de bestämmelser i förordningen och direktivet som gäller tredjeländer exempelvis i sådana situationer där en behörig myndighet i en EU-medlemsstat överför personuppgifter till ett tredjeland. Det är emellertid också möjligt att ett bilateralt avtal som ingåtts med landet i fråga kan bli tillämpligt, om det innehåller bestämmelser om dataskydd eller bestämmelser som hänvisar till den nationella lagstiftningen. 

Europarådets konvention omarbetas för tillfället, och den nya konventionen ersätter konvention nr 108 när tillräckligt många av Europarådets medlemsstater har ratificerat den. Det är möjligt att begränsa tillämpningen av bestämmelserna i konventionen om allmänintresset väger tyngre, t.ex. på grundval av den nationella säkerheten och det nationella försvaret. 

Europarådet har även vissa andra konventioner som innehåller bestämmelser om behandlingen av personuppgifter. Ur polisverksamhetens perspektiv är i synnerhet konvention nr 185, som gäller bekämpning av it-relaterad brottslighet, och dess tilläggsprotokoll nr 189 av betydelse. Konventionen om it-brottslighet tillämpas bl.a. på frysning av personuppgifter inför ett rättshjälpsförfarande. 

Europarådet har dessutom utfärdat en rekommendation R(87)15 om användning av personuppgifter inom polissektorn. Europarådet har senast 2013 låtit utarbeta en utredning om genomförandet av rekommendationen i medlemsstaterna i Europarådet. Enligt utredningen har rekommendationen som helhet genomförts relativt omfattande och i fråga om polissektorn finns inte behov av brådskande tilläggsåtgärder. I utredningen noteras dock att lagstiftningen i Europarådets medlemsstater inte till alla delar är på den nivå som förutsätts för EU:s del i Europeiska kommissionens direktivförslag. Det rekommenderas i utredningen att man bör överväga att införa ett rättsligt bindande instrument för behandlingen av personuppgifter vid brottsbekämpningsmyndigheterna, och samtidigt ge akt också på underrättelsemyndigheternas verksamhet och den nationella säkerheten. Enligt utredningen kunde man välja mellan att anta en täckande konvention, vars tillämpningsområde även omfattar behandlingen av personuppgifter hos polisen, eller att foga ett separat tilläggsprotokoll antingen till konventionen om dataskydd eller till konventionen om it-brottslighet. 

2.2.3  2.2.3 Övriga bestämmelser om behandling av personuppgifter där EU-lagstiftning ingår

Bestämmelser om behandlingen av personuppgifter hos polisen finns också i vissa EU-rättsakter med tillhörande genomförandelagar som tillämpas på sådant polissamarbete mellan EU-medlemsstater som anknyter till de uppgifter som avses i bestämmelsen om tillämpningsområde i dataskyddsdirektivet. Dessa författningar är i synnerhet 

Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 

Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europolförordningen) och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017), 

Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål (Eurodac-förordningen), 

rådets beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet och rådets beslut 2008/616/RIF om genomförande av beslut 2008/615/RIF, 

rådets rambeslut 2006/960/RIF om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet. 

2.2.4  2.2.4 Lagstiftningen i utlandet

Den lagstiftning i EU:s medlemsstater som gäller behandling av personuppgifter håller just nu på att ändras i betydande grad till följd av det nationella genomförandet av EU:s dataskyddspaket. Den kommande nationella lagstiftningen gäller de detaljerade kraven i dataskyddsförordningen och dataskyddsdirektivet som har till syfte att harmonisera dataskyddslagstiftningen i medlemsstaterna. 

I denna proposition har det inte ansetts vara ändamålsenligt att beskriva de övriga ländernas dataskyddslagstiftning sådan den lyder före genomförandet av EU:s dataskyddslagstiftning. Beredningen av den nya lagstiftningen i medlemsstaterna har under beredningen av propositionen i hög grad ännu varit under arbete så det har inte varit möjligt att göra en heltäckande internationell jämförelse. En jämförelse har dock till vissa delar gjorts med två EU-medlemsstater, Tyskland och Sverige. Genomförandelagstiftningen i dessa båda stater har granskats till stöd för andra synpunkter med tanke på bedömningen av huruvida det i propositionen för behandlingen av personuppgifter ska föreslås en registerbaserad regleringslösning eller en som utgår från ändamålen med behandlingen. 

Sverige 

Sverige föreslog i betänkandet SOU 2017:39 Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning att Sveriges personuppgiftslag (1998:201) och personuppgiftsförordning (1998:1991) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. Enligt betänkandet ska författningarna innehålla bestämmelser som kompletterar innehållet i EU:s dataskyddsförordning och de ska i tillämpliga delar också gälla behandling av personuppgifter som gäller den nationella säkerheten samt EU:s gemensamma utrikes- och säkerhetspolitik. 

Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218) trädde i kraft i Sverige den 25 maj 2018. Det är fråga om en allmän lag som är subsidiär i förhållande till lagstiftningen med särskilda bestämmelser. I lagen förtydligas villkoren för behandling av personuppgifter och den innehåller bestämmelser om begräsning av registrerades rättigheter samt om skador som uppstått pga. tillsynsmyndighetens beslut och klagomål. 

I Sverige trädde den 1 augusti 2018 i kraft en ny ramlag, brottsdatalagen (2018:1177), genom vilken de ändringar som EU:s dataskyddsdirektiv kräver genomförs. Lagen har ett motsvarande tillämpningsområde som genomförandelagstiftningen för dataskyddsdirektivet i Finland, och lagen innehåller ett motsvarande begrepp om upprätthållande av allmän ordning och säkerhet som polislagen i Finland. I lagen görs skillnad mellan å en a sidan behandling av personuppgifter i anknytning till brottsbekämpning, tillsyn av lagen, verkställande av straffrättsliga påföljder och allmän ordning och säkerhet samt å andra sidan behandling av personuppgifter som omfattas av tillämpningsområdet för lagförslaget som gäller brottmål och tillämpningsområdet för allmänna dataskyddsförordningen. Lagens innehåll motsvarar i stor utsträckning innehållet i dataskyddsdirektivet. Lagen tillämpas av många myndigheter, men endast i den utsträckning som ändamålet med deras behandling av personuppgifter motsvarar de ändamål med behandlingen som ingår i lagens tillämpningsområde. Utöver lagen har Sverige i sitt betänkande om genomförandet av dataskyddsdirektivet, (SOU 2017:74, Brottsdatalag – kompletterande lagstiftning, Slutbetänkande av Utredningen om 2016 års dataskyddsdirektiv) samt i regeringens proposition (2017/18:269, Brottsdatalag – kompletterande lagstiftning) föreslagit, på samma sätt som i den gällande regleringen, separat lagstiftning om personregister i fråga om enskilda myndigheter som omfattas av lagens tillämpningsområde. 

För Säkerhetspolisens del måste Sverige, på samma sätt som Finland, införa en nationell lösning. Behandling av personuppgifter som anknyter till den nationella säkerheten omfattas inte av tillämpningsområdet för EU-lagstiftningen, men behandlingen av personuppgifter vid Säkerhetspolisen hör till tillämpningsområdet för polisens gällande personuppgiftslag. I betänkandet föreslås att en separat nationell lag ska stiftas om behandlingen av personuppgifter vid Säkerhetspolisen (förslag till Säkerhetspolisens datalag). Det lagförslag som gäller brottmål innehåller emellertid bestämmelser om behandlingen av personuppgifter vid Säkerhetspolisen till den del behandlingen inte hänför sig till nationell säkerhet. Lagförslagets 9 kap. som gäller Säkerhetspolisen innehåller detaljerade bestämmelser om bl.a. ändamålen med behandlingen, som preciserar den uppgiftsbehandling som hänför sig till nationell säkerhet, bevaringstiderna för personuppgifter, den registrerades rättigheter, dataskyddsmyndigheten och utlämnandet av personuppgifter. Beträffande Säkerhetspolisen föreslås det dessutom att en kompletterande förordning med mer detaljerade bestämmelser om bl.a. Säkerhetspolisens personregister ska utfärdas. 

Sverige har med avseende på den gällande lagstiftningen omfattat samma typ av regleringslösning som Finland, i och med att behandlingen av personuppgifter vid polisen (Polismyndigheten) regleras genom en separat lag (polisdatalagen, 2010:361), som gäller behandling av personuppgifter i brottmål samt den personuppgiftsbehandling som utförs av Säkerhetspolisen. Lagen gäller automatiserad behandling av personuppgifter eller sådan behandling som sker i registerform. På övrig behandling av personuppgifter tillämpar polisen den allmänna personuppgiftslagen, såvida inte särskilda bestämmelser ska tillämpas, t.ex. i utlänningsärenden. I Sverige innefattar polisens behandling av personuppgifter även sådan behandling av personuppgifter som hänför sig till penningtvätt. Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som ska tillämpas också på sådan personuppgiftsbehandling som hänför sig till polisens brottsbekämpning, såsom de allmänna grunderna för uppgiftsbehandlingen, definitionerna, den registrerades rättigheter och kontroll samt skadestånd. 

I polisdatalagen föreskrivs om de ändamål för vilka personuppgifter får behandlas (2 kap.). Förteckningarna är uttömmande, men bestämmelserna är tämligen allmänna. Dessa behandlingsändamål har delats in i primära och sekundära ändamål. De primära ändamålen hänför sig till sådana personuppgifter som behövs för att förebygga, avslöja eller utreda brott eller för att fullgöra internationella skyldigheter. De sekundära ändamålen hänför sig till utlämnande av personuppgifter till andra myndigheter antingen för deras egna behov eller för annan polisiär verksamhet. Personuppgifter får lämnas ut för sekundära behandlingsändamål när den mottagande myndigheten behöver uppgifterna för brottsbekämpning. Exempel på sådana myndigheter är Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, samt behöriga utländska myndigheter och internationella organisationer. Personuppgifter kan överlåtas till polisen också för andra behandlingsändamål än det ursprungliga ändamålet, när det nya ändamålet är förenligt med det ursprungliga. 

Personuppgifter får också behandlas om det är nödvändigt för diarieföring, för handläggning av en anmälan som gjorts till polisen eller i övrigt för behandlingen av ett ärende. I lagen föreskrivs också om situationer där personuppgifter trots bestämmelserna om sekretess får överlåtas bl.a. till Interpol och Europol, en utländsk underrättelsemyndighet eller någon annan utländsk myndighet eller en internationell organisation, samt till ovan nämnda svenska myndigheter. 

I polisdatalagen föreskrivs dessutom om behandlingen av känsliga personuppgifter, behandlingen av personuppgifter vid ett kriminaltekniskt laboratorium samt vissa register (4 kap.), närmare bestämt DNA-registret, utredningsregistret, spårregistret, fingeravtrycksregistret, signalementsregistret, penningtvättsregistret och det internationella registret. Bestämmelserna om registren är tämligen enkla, och även i fråga om dessa register föreskrivs det om ändamålet med behandlingen av personuppgifter. Regleringen av registren kompletteras emellertid av polisdataförordningen (2010:1155), där det preciseras vilka personuppgifter som får införas i polisens register och vilka personuppgifter som får göras tillgängliga för andra myndigheter genom sökning. 

Den gällande polisdatalagen i Sverige är en kombination av reglering som utgår från ändamålen med behandlingen och registerbaserad reglering, men tyngdpunkten ligger på reglering som utgår från ändamålen med behandlingen. Lagen innehåller också bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (6 kap.) I samma kapitel föreskrivs om ändamål med behandlingen som anknyter till Säkerhetspolisens uppgifter, som delvis avviker från polisens ändamål med behandlingen, samt om bevarings- och gallringstider. I fråga om utlämnande av personuppgifter gäller huvudsakligen samma bestämmelser som för polisen. Polisdatalagen innehåller dessutom bestämmelser om lagens förhållande till den EU-lagstiftning som ska tillämpas på polissamarbete, vilken innehåller bestämmelser om behandling av personuppgifter. 

Regeringens proposition (Prop. 2017/18:269) ”Brottsdatalag – kompletterande lagstiftning” innehåller ett förslag till en ny personuppgiftslag för polisen (lag om polisens behandling av personuppgifter inom brottsdatalagens område). Lagen kompletterar den allmänna lagen (brottsdatalagen) och där föreskrivs på motsvarande sätt som i den gällande lagen om ändamål med behandlingen, som dock motsvarar ändamålen med behandlingen av personuppgifter enligt dataskyddsdirektivet. Dessutom innehåller lagen fortfarande bestämmelser om vissa personregister (t.ex. DNA- och fingeravtrycksregistret) samt om utlämnande av personuppgifter. Lagen tillämpas i tillämpliga delar också på den behandling av personuppgifter som Ekobrottsmyndigheten i Sverige utför, när uppgifter behandlas vid brottsutredning och det inte är fråga om åklagarverksamhet, samt på Säkerhetspolisens behandling av personuppgifter som omfattas av dataskyddsdirektivet, när det inte är fråga om att skydda den nationella säkerheten. På motsvarande sätt som den gällande regleringen ska lagförslaget kompletteras av en förordning, som till sitt innehåll huvudsakligen motsvarar den gällande polisdataförordningen. 

Tyskland 

Tyskland har på förbundsnivå genomfört EU:s nya dataskyddsdirektiv. Genomförandebestämmelserna om dataskyddsdirektivet ingår i förbundsstatens dataskyddslag (Bundesdatenschutzgesetz, BDSG), som också innehåller bestämmelser om behandling av personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen. På behandling av personuppgifter som omfattas av dataskyddsdirektivet tillämpas 45—84 § i lagen samt avsnitt 1, som gäller ändamål med behandlingen av alla personuppgifter. Bestämmelserna tillämpas i enlighet med bestämmelsen om tillämpningsområde i direktivet på sådan behandling av personuppgifter som utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten. Bestämmelserna gäller tyska myndigheter till den del dessa sköter ovannämnda uppgifter. Som brott betraktas sådana handlingar som enligt den tyska strafflagen definieras som brott. 

De allmänt tillämpliga bestämmelserna kompletteras i Tyskland av såväl bestämmelserna i förbundsstatens lag om kriminalpolisen som lagstiftningen om de regionala polismyndigheterna. Lagen om kriminalpolisen på förbundsstatsnivå (Bundeskriminalamt, BKA) innehåller vissa bestämmelser som preciserar dataskyddslagens bestämmelser med avseende på BKA:s behandlingsändamål. Som exempel kan nämnas framför allt bestämmelserna om inhämtning av uppgifter i avdelning 2 samt bestämmelserna om internationellt utlämnande av personuppgifter (25—28 §), där det föreskrivs separat om utlämnande av uppgifter inom landet, utlämnande av uppgifter till EU-medlemsstater och internationellt utlämnande av uppgifter. Ytterligare bestämmelser om behandling av personuppgifter finns särskilt i avdelning 9, där det bl.a. fastställs för vilka ändamål BKA får behandla personuppgifter. 

Lagen om polisverksamheten på förbundsstatsnivå innehåller detaljerade bestämmelser om inhämtning av uppgifter och om de vidarebehandlingsändamål för vilka de inhämtade uppgifterna får behandlas. I lagen föreskrivs om förbundsstatens polisdatasystem (13 §), vars datainnehåll grundar sig på polisens uppgifter på förbundsstatsnivå. Bestämmelsen är tämligen allmänt formulerad men anknyter till övrig EU-lagstiftning och nationell lagstiftning som gäller polisens uppgifter samt till bestämmelserna om informationsinhämtning. Regleringen av polisen på förbundsstatsnivå utgör således en kombination av datasystemsspecifik reglering och reglering som utgår från ändamålen med behandlingen. Det föreskrivs inte detaljerat om ändamålen med behandlingen, med undantag av vissa ändamål för vidarebehandling av personuppgifterna, t.ex. forskning. I lagen föreskrivs i detalj om behandlingen av DNA-uppgifter, men inte om behandlingen av andra känsliga personuppgifter. De krav som ställs på behandlingen av andra känsliga personuppgifter grundar sig direkt på dataskyddslagen. Lagen innehåller en detaljerad förteckning över de kategorier av personer vars personuppgifter (såsom grundläggande personuppgifter) polisen får behandla. 

Den tyska lagstiftningen om behandling av personuppgifter är när det gäller polisen indelad i förbundsstatslagstiftning och regional (Länder) lagstiftning. Det ovan nämnda polisdatasystemet på förbundsstatsnivå är ett system som administreras enbart av BKA. Det är emellertid anslutet till en större datanätshelhet (29 §), som används även av de regionala polismyndigheterna i enlighet med vad som föreskrivs i den regionala polislagstiftningen. Alla personuppgifter som behandlas av BKA eller de regionala polismyndigheterna lagras dock inte i det riksomfattande datanätet. 

2.3  Bedömning av nuläget

2.3.1  2.3.1 EU:s dataskyddslagstiftning

På polisens behandling av personuppgifter tillämpas i dagsläget personuppgiftslagen som allmän lag. Reformen av EU:s dataskyddslagstiftning differentierar dock rättsgrunden så att det inte längre går att tillämpa en och samma författning på all behandling av personuppgifter. Polisen lagstadgade uppgifter fördelar sig mellan tillämpningsområdena för dataskyddsdirektivet och dataskyddsförordningen, dessutom omfattas en del av polisens uppgifter inte alls av tillämpningsområdet för unionsrätten. 

Till dataskyddsdirektivets tillämpningsområde inom polisen hör förebyggande, avslöjande, utredning av brott och förande av brott till åtalsprövning samt åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Polisens personuppgiftslag ska innehålla preciserande bestämmelser om den behandling av personuppgifter som omfattas av tillämpningsområdet för dataskyddsdirektivet till den del som regleringen inte ingår i dataskyddslagen avseende brottmål. Speciallagstiftningen ska i behövlig utsträckning innehålla närmare bestämmelser t.ex. om vilka personuppgifter som registreras, deras användningsändamål, utlämnande av personuppgifter och hur länge uppgifterna bevaras (RP 31/2018 rd, s. 75). I regleringen gäller det att fästa avseende vid att den miniminivå på dataskyddet som anges i direktivet inte försämras. 

Dataskyddsförordningen och den dataskyddslag som kompletterar förordningen tillämpas inom polisen på uppgifter i anknytning till tillståndsförvaltning samt på sådana övervakningsuppgifter som föreskrivits för polisen där det inte är fråga om att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning eller åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. Dataskyddsförordningen gäller som direkt tillämplig lagstiftning i medlemsstaterna. Artikel 6.2 i dataskyddsförordningen gör det dock möjligt att meddela mer detaljerade bestämmelser för att anpassa bestämmelserna i förordningen när behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Enligt artikel 6.3 i dataskyddsförordningen är det ett krav att grunden för behandlingen av personuppgifter i dessa fall ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. En sådan lagstiftning kan innehålla bestämmelser om bland annat vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling. När det gäller de uppgifter som föreskrivs för polisen i lag, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Med stöd av artikel 9 i dataskyddsförordningen kan närmare bestämmelser utfärdas också om behandling av personuppgifter inom särskilda kategorier av personuppgifter. 

Inom polisens personuppgiftslagstiftning bör det nationella spelrum som dataskyddsförordningen möjliggör användas och bör preciserande bestämmelser utfärdas i synnerhet om behandling av uppgifter inom särskilda kategorier av personuppgifter och om utövande av den registrerades rättigheter och begräsningar i den registrerades rättigheter. I bestämmelserna gäller det att säkerställa att begränsningar av rättigheterna är nödvändiga och proportionella. 

Uppgifter i anknytning till upprätthållandet av den nationella säkerheten omfattas inte av tillämpningsområdet för unionsrätten och därför inte heller av tillämpningsområdet för dataskyddsförordningen eller dataskyddsdirektivet. För de personuppgifter som behandlas i dessa uppgifter gäller en nationell lösning. Dataskyddslagen avseende brottmål, genom vilken dataskyddsdirektivet genomförts nationellt, tillämpas enligt dess 1 § 2 mom. 2 punkt på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. Skyddspolisen har enligt 10 § i polisförvaltningslagen till uppgift att bekämpa förehavanden och brott som kan äventyra stats- och samhällsskicket eller rikets inre eller yttre säkerhet samt att utföra undersökning av sådana brott. Dataskyddslagen avseende brottmål ska tillämpas även på sådan behandling av personuppgifter som utförs av en annan polisenhet, när uppgifter behandlas i en i 1 § 1 mom. i polislagen avsedd uppgift som har samband med skyddet av den nationella säkerheten. 

I propositionen gäller det att säkerställa att speciallagstiftningen om behandling av personuppgifter i polisens verksamhet är förenlig med den nya dataskyddslagstiftningen. Dessutom ska man sträva efter att i polisens personuppgiftslag slopa överlappningar med den allmänna lagstiftningen. 

2.3.2  2.3.2 Polisens personuppgiftslag

Grundlagsutskottet konstaterade i sitt utlåtande GrUU 18/2012 rd att polisens personuppgiftslag bl.a. som en följd av de många ändringarna och tilläggen har blivit mycket komplicerad till såväl struktur som innehåll. Lagen innehåller också ett flertal överlappningar med personuppgiftslagen och offentlighetslagen. 

I riksdagens svar (RSv 216/2013 rd) på regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om behandling av personuppgifter i polisens verksamhet och lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt av vissa lagar som har samband med dem förutsatte riksdagen att regeringen snarast möjligt påbörjar en totalrevidering av lagen om behandling av personuppgifter i polisens verksamhet och att man i samband därmed också beaktar det slutliga innehållet i den nya dataskyddslagstiftning som är under beredning i EU och vilka krav den ställer på den nationella lagstiftningen. Avseende ska dessutom fästas vid de anmärkningar beträffande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande FvUB 26/2013 rd. 

Den gällande lagen baserar sig på en reglering utifrån enskilda informationssystem. Regleringen är mycket detaljerad, i synnerhet när det gäller uppgifter som registreras i informationssystemen. Detta regleringssätt är osmidigt, och det är problematiskt att hålla bestämmelserna uppdaterade. 

På ändringsbehoven i fråga om behandling av personuppgifter i polisens verksamhet inverkar förutom EU:s dataskyddsreform och de strukturella problemen i den gällande lagen också de ändringar som skett i polisens verksamhetsmiljö. Polisens grundläggande uppgifter och ändamål med behandlingen av personuppgifter har inte förändrats efter att polisens gällande personuppgiftslag stiftades. Däremot har det skett många ändringar i verksamhetsmiljön och de strategiska prioriteringarna i polisens verksamhet. Som exempel kan nämnas att hotet om terrorism har ökat i hela Europa, och dessutom är gränsöverskridande organiserad brottslighet och rörliga, mindre kriminella sammanslutningar ett växande fenomen. Även it-brottsligheten har ökat. 

Ett fungerande informationsflöde är en central verksamhetsförutsättning för ett nätverksbaserat samhälle som strävar efter riskhantering. En rätt inriktad myndighetsverksamhet bygger på riktig information som fås i så nära realtid som möjligt. För att kunna reagera på förändringar i den säkerhetspolitiska omgivningen måste myndigheterna ha en bättre lägesmedvetenhet och framförhållning och bedriva tätare samarbete. Samhället blir allt känsligare för störningar och det är därför viktigt att myndigheterna kan reagera snabbt och effektivt på förändringar. För polisens del rör förändringarna i den säkerhetspolitiska omgivningen den allmänna ordningen och säkerheten samt, i relation till detta, brottslighet samt strävan efter att förebygga eller utreda brott eller föra brott till åtalsprövning. 

Informationssystemet för polisärenden 

Grundlagsutskottet och förvaltningsutskottet har inte ansett att innehållet i informationssystemet för polisärenden är problematiskt. Bestämmelsen om informationssystemet har dock till följd av många ändringar blivit för detaljerat och svårläst, dessutom orsakar en del av uppgiftskategorierna i paragrafen oklarheter i förhållande till övriga bestämmelser i lagen. Exempelvis har förhållandet mellan de observationsuppgifter som infördes i informationssystemet för polisärenden genom lagändringen 2013 och observationsuppgifterna i paragrafen om informationssystemet för misstänkta delvis blivit oklart. Det har också förblivit oklart i vilken omfattning det i systemet får registreras uppgifter i anslutning till sådana uppdrag som ingår i uppgiftsområdet enligt 1 kap. 1 § 1 mom. i polislagen i vilka det inte uttryckligen ännu är fråga om förundersökning, polisundersökning eller handräckningsärenden samt sådana uppgifter som primärt registreras i det nödcentralsdatasystem som avses i lagen om nödcentralsverksamhet. I bestämmelserna har inte heller beaktats behovet av att behandla personuppgifter för upprätthållandet och förmedlandet av en lägesbild, för inriktning av polisens verksamhet och bedömning av hot. Dessutom har det också varit oklart huruvida uppgifter alltid får användas för en utredning till stöd för att någon är oskyldig. 

Enligt 2 § i polisens personuppgiftslag kan informationssystemet för polisärenden innehålla personuppgifter som polisen måste behandla för att kunna utföra de uppgifter som anges i 1 kap. 1 § 1 mom. i polislagen. I 3 mom. 3 punkten i bestämmelsen föreskrivs om behandling av uppgifter om personer som anmälts försvunna. Bestämmelser om polisens skyldighet att vidta de åtgärder som behövs för att hitta en sådan person som det finns grundad anledning att anta att har försvunnit eller råkat ut för en olycka finns dock i 1 kap. 1 § 2 mom. i polislagen. I informationssystemet för polisärenden antecknas därmed också information som behövs för skötseln av de uppgifter som föreskrivs i 1 kap. 1 § 2 mom. i polislagen. Samma problem gäller uppgifter som separat föreskrivs för polisen någon annanstans i lag och som det ändå finns behov av att anteckna i informationssystemet för polisärenden. I dessa situationer är det i huvudsak fråga om ärenden som ingår i polisundersökning. 

Informationssystemet för förvaltningsärenden 

På samma sätt som när det gäller informationssystemet för polisärenden har den alltför detaljerade regleringen av datainnehållet ansetts vara ett problem med informationssystemet för förvaltningsärenden. De detaljerade förteckningarna över olika typer av information i 3 § 3 mom., som gäller informationssystemet för förvaltningsärenden, har orsakat ett ofta återkommande behov av ändringar i lagen. Dessutom har regleringen av innehållet i de typer av information som gäller tillståndsärenden blivit oenhetlig till följd av alla ändringar som gjorts. Trots den detaljerade regleringen av datainnehållet innehåller den gällande 3 § dock inte bestämmelser om de kategorier av registrerade vars uppgifter får behandlas i informationssystemet för förvaltningsärenden. 

I 3 § om informationssystemet för förvaltningsärenden ingår inte bestämmelser om all behandling av personuppgifter som behövs för polisens uppgifter inom tillståndsförvaltningen och för utförandet av de övervakningsuppgifter som omfattas av dataskyddsförordningen. Exempelvis kan inte behövliga uppgifter för att utföra de uppgifter som föreskrivs i hittegodslagen (778/1998) och lagen om skjutbanor (763/2015) behandlas riksomfattande i informationssystemet för förvaltningsärenden. Enligt den gällande lagen registreras inte heller uppgifter om tillsyn i anknytning till lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017, nedan lagen om penningtvätt) eller lotterilagen (1047/2001) i systemet. 

I informationssystemet för förvaltningsärenden registreras i enlighet med 3 § i den gällande lagen däremot också uppgifter för identifiering av utlänningar som upptagits med stöd av 131 § i utlänningslagen, som dock behandlas i samband med polisens övervakning av utlänningar för utförande av uppgifter som omfattas av tillämpningsområdet för dataskyddsdirektivet. Vid behandlingen av uppgifter för identifiering av utlänningar har det i synnerhet visat sig vara problematiskt att användningen av fingeravtryck för andra ändamål än det ursprungliga i enlighet med den gällande lagen är möjlig endast enligt samma villkor i 16 a § som det är möjligt att använda fingeravtrycksuppgifter i passregistret. Det är alltså inte möjligt att utnyttja uppgifterna vid brottsbekämpning ens när uppgifterna är nödvändiga för att förhindra, avslöja eller utreda ett terroristbrott eller något annat allvarligt brott. 

Informationssystemet för misstänkta 

Förvaltningsutskottet har fäst uppmärksamhet vid brister i anknytning till behandlingen av personuppgifter i informationssystemet för misstänkta (FvUU 40/2014 rd). Personer kan endast registreras som misstänkta och medverkande. Förvaltningsutskottet har i sitt betänkande (FvUB 16/2014 rd) konstaterat att när uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för “skäl att misstänka" är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen. 

Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår enligt förvaltningsutskottet av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Utskottet har ansett det vara uppenbart att misstanken i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet "skäl att misstänka" uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor. 

Förvaltningsutskottet har fäst uppmärksamhet också vid att det i en kompletterande "förklaringsdel” kan det dessutom ha funnits anteckning om till exempel den mot vilken den misstänkte riktat eller kan rikta hot om våld (FvUU 40/2014 rd). Även grundlagsutskottet har redan tidigare fäst vikt vid att det i motiveringen anges att också uppgifter om potentiella eller verkliga brottsoffer får införas i informationssystemet för misstänkta såsom uppgifter som hänför sig till brottet. Lagförslagets 4 § omfattar dock inte detta syfte. (GrUU 51/2002 rd). Det faktum att registrering av uppgifter om offer i registret framkommer endast i motiveringen till bestämmelsen kan inte anses vara en sådan noggrann avgränsning som grundlagsutskottet krävt i sin tolkningspraxis. 

Bestämmelserna om informationssystemet för misstänkta har betraktats som oändamålsenliga och bristfälliga även med tanke på polisens verksamhet. Enligt motiveringen till bestämmelsen i regeringens proposition (RP 93/2002 rd) kan på grund av syftet med registret för misstänkta inte en mycket precis individualisering av brottet förutsättas. Detta gäller t.ex. den verksamhet som medlemmarna i en känd kriminell sammanslutning bedriver. Utgångspunkten för ordalydelsen i paragrafen verkar dock vara personbaserad kriminalunderrättelseinhämtning så att polisen ska ha en konkret brottsmisstanke mot en enskild person, och regleringen omfattar inte i större utsträckning t.ex. uppgiftsbaserad brottsanalys som gäller organiserad brottslighet eller kriminella sammanslutningar. 

Också möjligheterna att behandla uppgifterna i informationssystemet för misstänkta för andra ändamål än de ursprungliga ändamålen med behandlingen har visat sig vara otillräckliga i vissa fall. Det är inte möjligt att använda uppgifterna vid tillståndsprövning och tillsyn över tillstånd i enlighet med den gällande lagen. Detta innebär att t.ex. uppgifter om personer med anknytning till organiserad brottslighet i informationssystemet för misstänkta inte kan utnyttjas t.ex. vid tillståndsprövning i fråga om vapentillstånd. 

Skyddspolisens funktionella informationssystem 

Vid skyddspolisen pågår ett projekt med syfte att i första hand utveckla och effektivisera skyddspolisens verksamhet och ett av de centrala målen med projektet är att se över skyddspolisens funktionella informationssystem. Mandattiden för projektet löper ut vid utgången av 2019. Några större behov av ändringar i bestämmelserna om behandling av personuppgifter i anslutning till skyddspolisens uppgifter har inte konstaterats. Bestämmelserna om behandling av uppgifter som gäller skyddspolisens funktionella informationssystem finns i den gällande lagen i samband med bestämmelserna om användning av uppgifter i polisens övriga personregister. Som den myndighet som ansvarar för den nationella säkerheten har skyddspolisen dock en annan ställning än den övriga polisen när det gäller dataskyddsdirektivet avseende brottmål. Regleringen om skyddspolisens behandling av personuppgifter är heller inte till alla delar enhetlig med förslagen till bestämmelser om behandlingen av personuppgifter i anknytning till militär underrättelseinhämtning (RP 13/2018 rd). 

Polisens övriga personregister 

Enligt den gällande regleringen i fråga om polisens övriga personregister får polisen för riksomfattande bruk utöver informationssystemen för polisärenden, förvaltningsärenden och misstänkta samt det nationella systemet inom Schengens informationssystem också ha temporära eller manuella personregister. För att användas av en eller flera polisenheter kan det inrättas också andra personregister för polisen än de nämnda informationssystemen och skyddspolisens funktionella informationssystem. Förvaltningsutskottet har konstaterat i fråga om Tullens personuppgiftslag (RP 351/2014 rd) att det inte kan tas in bestämmelser i speciallagstiftningen för Tullen om ett personregister där angivelser om registrets användningssyfte och datainnehåll saknas. En sådan reglering är inte heller adekvat i polisens personuppgiftsbestämmelser, utan regleringen måste i detta avseende snarast möjligt preciseras eller också strykas ur lagstiftningen. (FvUB 54/2014 rd, s. 6—7). 

Dessutom föreskrivs det om temporära register för brottsanalys i 6 § 2 mom. 2 punkten som gäller polisens övriga personregister. Bestämmelsen ändrades genom den lag som trädde i kraft vid ingången av 2014 så att det blev möjligt att inrätta ett temporärt register för sådan brottsanalys som behövs för att förhindra, avslöja eller utreda förutom ett enskilt brott även en helhet bestående av flera brott. Denna ändring har effektiviserat utredningen av lokala, grova brott och i synnerhet omfattande brottsserier. Funktionellt sett är det dock ett problem att registren för brottsanalys att uppgifterna i dem inte kan användas riksomfattande. Bestämmelsen styr också analysverksamheten och situationsbilden utifrån analyser i riktning mot enskilda brott eller brottshelheter, och inte mot information om helhetssituationen för brottsligheten eller förändringar i verksamhetsmiljön. 

Utlämnande av och rätt att få information 

I samband med lagändringarna 2013 (RP 66/2012 rd) ändrades polisens rättigheter att få uppgifter ur vissa register med hjälp av en teknisk anslutning eller som en datamängd så att de motsvarar rättigheterna för den aktör som lämnar ut uppgifterna. Bestämmelsen ändrades så att den omfattar också uppgifter om resande som ansluter sig till inkvarterings- och förplägnadsverksamhet, uppgifter i Gränsbevakningsväsendets och Tullens personregister, uppgifter i farkostregistret, uppgifter i anslutning till handräckningen av den myndighet som begärt handräckning och uppgifter ur Försvarsmaktens värnpliktsregister. I den gällande lagen preciserades också 13 § i fråga om användningsändamålet och informationsinnehållet. 

Dessutom innehåller polisens personuppgiftslag sådana bestämmelser om rätt att få information och om utlämnande av uppgifter som redan finns någon annanstans i lag. En mer omfattande reform av rätten att få uppgifter hade krävt granskning av informationsutbytet mellan myndigheter och bedömning av regleringstekniken, vilket inte var möjligt att genomföra vid delreformen. Av denna orsak stannade man för att ändra lagen, trots att det till vissa delar har lett till en dubbel reglering av rätten att få och lämna ut uppgifter. Också riksdagens förvaltningsutskott har fäst uppmärksamhet vid behovet av en reform och har konstaterat att den gällande 13 § bör granskas och analyseras när polisens personuppgiftslag omarbetas fullständigt (FvUB 36/2014 rd, s. 2). 

Enligt allmän praxis har bestämmelser om utlämnande av uppgifter och om rätt att få information tagits in i både den överlåtande myndighetens och den mottagande myndighetens lagstiftning. Regleringssättet har dock inte varit heltäckande, vilket i vissa situationer kan ha medfört tolkningsproblem för dem som tillämpar lagarna. Utöver den dubbla regleringen har informationsutbytet reglerats i speciallagstiftningen också på så sätt att det föreskrivs om rätten att få upplysningar endast i bestämmelser som gäller den som lämnar ut upplysningarna samt på så sätt att rätten att få upplysningar ingår endast i lagstiftningen om mottagaren. Det är inte möjligt att införa en bestämmelse om utlämnande av uppgifter som till alla delar motsvarar den om rätten att få uppgifter i polisens personuppgiftslag i någon av de gällande speciallagarna. För att kunna beakta behoven i anslutning till informationsutbytet ska i polisens personuppgiftslag också i fortsättningen ingå bestämmelser både om utlämnande av information och om erhållande av information, beroende av hurudan regleringslösning i fråga om informationsutbyte som antagits i lagstiftningen för den andra parten. Situationen blir inte nämnvärt tydligare om den dubbla regleringen i polisens personuppgiftslag slopas. Det är dock möjligt att en del av rätten att få information kan slopas i samband med senare projekt, om regleringen ses över på nytt t.ex. i samband med att de föreslagna mer omfattande ändringarna av regleringen om informationshanteringen inom den offentliga förvaltningen genomförs (projekt VM183:00/2017). 

2.3.3  2.3.3 Tillsynen av behandlingen av personuppgifter

Förvaltningsutskottet konstaterade i sitt betänkande FvUB 26/2013 rd att de nya typer av information som enligt propositionen ska få lagras och den närmare preciseringen av informationens innehåll utifrån behövlighetsprövning kräver extra satsningar på tillsynen över hur personuppgifter behandlas. Det är nödvändigt att övervaka behandlingen av personuppgifter med hänsyn till såväl uppgifternas innehåll som hur de används. Slutsatserna av övervakningen borde också rapporteras bättre. 

Polisens personregister innehåller mycket sådan information som det är synnerligen viktigt att skydda mot obehörig användning (GrUU 42/2014 rd, GrUU 18/2012 rd). Grundlagsutskottet har också fäst uppmärksamhet vid att i och med tidigare ändringar har informationsinnehållet ytterligare ökat. I sådana situationer måste användningen övervakas särskilt noga. (GrUU 42/2014 rd). 

Dataskyddsförordningen och dataskyddslagen avseende brottmål innehåller detaljerade bestämmelser om den personuppgiftsansvariges skyldigheter, dataskyddet och tillsynen av behandlingen av personuppgifter. Den nya dataskyddsregleringen och den senare i detta kapitel beskrivna interna och externa laglighetskontroll av efterlevnaden av regleringen bedöms motsvara de utvecklingsbehov som riksdagen lyft fram. 

Intern laglighetskontroll 

Enligt 1 § 1 mom. i polisförvaltningslagen ansvarar inrikesministeriet för styrningen och övervakningen av polisens verksamhetsområde. Enligt 13 § 2 mom. i inrikesministeriets förordning om inrikesministeriets arbetsordning (1078/2013) behandlar ministeriets polisavdelning ärenden som gäller laglighetsövervakning av polisen. Polisavdelningen genomför sin laglighetsövervakning i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och inom dess förvaltningsområde (SMDno-2016-329). Den laglighetsövervakning som utförs av polisavdelningen omfattar t.ex. att behandla förvaltningsklagan och respons från allmänheten, övervaka och utföra granskningar av behandlingen av personuppgifter samt ge utlåtanden i synnerhet till de högsta laglighetsövervakarna. 

Polisavdelningen och inrikesministeriets övriga avdelningar planerar årligen de laglighetsgranskningar som ska utföras inom verksamhetsområdet. Över granskningarna upprättas en granskningsberättelse där det också kan ingå åtgärdsrekommendationer. Polisavdelningen lämnar rapporten om laglighetsövervakningen inom det egna förvaltningsområdet och observationerna till följd av den samt övriga eventuella utlåtanden till kännedom till förvaltnings- och utvecklingsavdelningen, som årligen upprättar inrikesministeriets och förvaltningsområdets berättelse om laglighetsövervakningen. 

Ledningen för ämbetsverken och inrättningarna inom inrikesministeriets förvaltningsområde svarar för att behandlingen av personuppgifter och övervakningen av användning av personregister har ordnats lagenligt på ett ändamålsenligt och effektivt sätt. Ämbetsverken ska ha tillräckliga anvisningar för att upptäcka och utreda informationssäkerhets- och dataskyddsförbrytelser. Särskild uppmärksamhet ska fästas vid registeruppgifternas användningssyfte och uppgifternas riktighet i det dagliga arbetet. Upptäckta fel, försummelser, missbruk och övriga olägenheter i användningen av personregister och behandlingen av personuppgifter ska åtgärdas utan dröjsmål. 

I polisens interna laglighetskontroll betonas betydelsen av enhetschefernas, befälets och de närmaste chefernas agerande samt anvisningarna om behandlingen av personuppgifter. Tillsynen av behandlingen av personuppgifter baserar sig utöver på den dagliga chefstillsynen på praxis om användarrättighet och logguppföljning samt på olika kontroller. Genom praxis för beviljande av användarrättigheter kan man inverka på att personuppgifter behandlas endast av personer i vars arbetsuppgifter behandling av personuppgifter ingår och som uppfyller de lagstadgade villkoren för att få användarrättighet. Polisstyrelsen utför dessutom övervakning i form av stickprov i användarlogguppgifterna för de register som förs av polisen i syfte att övervaka användningen av polisens informationssystem och personuppgifterna. Kontrollerna görs systematiskt och alltid när behov uppstår. Polisenheterna får också utföra granskningar av logguppgifterna. 

Chefen för en polisenhet svarar för ordnandet av laglighetsövervakningen och att resurserna är tillräckliga för övervakningen i enheten. Polisenheterna utarbetar årligen en granskningsplan för laglighetsövervakningen, där fokus ska ligga på åtgärder genom vilka man ingriper i individens grundläggande fri- och rättigheter och de mänskliga rättigheterna. Vid granskningarna ska särskild vikt fästas vid bl.a. behandlingen av personuppgifter och övervakningen av denna. Chefen för polisenheten ska se till att behövliga åtgärder som krävs utifrån granskningsiakttagelserna utförs och dokumenteras. Polisstyrelsen ska informeras om allvarliga fel, brister eller iakttagelser. Försummelser och fel som upptäcks i laglighetsövervakningen ska åtgärdas utan dröjsmål. 

Vid övervakningen av användningen av informationssystem och behandlingen av personuppgifter ska särskild uppmärksamhet fästas vid de behandlade uppgifternas riktighet och behovet av uppgifterna, att de används på ett korrekt sätt, att användarrättigheterna är behöriga och aktuella samt att uppgifterna behandlas i enlighet med klassificeringskraven för sekretessbelagt datamaterial. Närmare anvisningar om övervakningen ges i Polisstyrelsens föreskrifter om hantering av logguppgifter inom polisen, användning och underhåll av polisens informationssystem samt hanteringen av åtkomsträttigheter. 

Under de senaste åren har polisenheternas rättsenheter haft en betydande inverkan på ordnandet och organiseringen av laglighetsövervakningen inom polisen samt på övervakningen av användningen av registren i polisenheterna. Inom polisens dataskyddsorganisation företräder de personer som sköter uppgiften som dataskyddsansvarig i huvudsak en rättsenhet. 

Polisstyrelsen lämnar utifrån polisenheternas granskningsberättelser för det föregående året en sammanfattad berättelse för hela polisförvaltningen till inrikesministeriet och ger den för kännedom till justitiekanslern i statsrådet och riksdagens justitieombudsman. I berättelserna behandlas bl.a. loggkontroll, resultatet av den och åtgärder som krävts och genomförts på grund av kontrollen samt andra åtgärder i anknytning till övervakningen av behandlingen av personuppgifter. 

Dessutom är databokslutet viktigt för att visa att verksamheten är lagenlig. Polisens databokslut är en rapport om resultatet av organisationens interna granskning och har till syfte att bedöma nivån på det genomförda dataskyddet, processerna för behandling av personuppgifter inom organisationen och situationen för informationshanteringen samt fungera som ett av redskapen för att i enlighet med dataskyddslagstiftningen fullgöra ansvarsskyldigheten och skyldigheten att informera de registrerade. 

Inom skyddspolisen ansvarar chefen för skyddspolisen för organiseringen, resursfördelningen och utvecklingen av laglighetskontrollen. Chefen för skyddspolisen ska se till att regelrätta laglighetsgranskningar och övrig laglighetskontroll utförs vid skyddspolisen i enlighet med anvisningen för laglighetsövervakning vid inrikesministeriet och skyddspolisens egna anvisningar (se föreskriften Suojelupoliisin sisäinen laillisuusvalvonta, määräys, Dnr 20/2017). Skyddspolisen utför regelrätta interna laglighetsgranskningar som baserar sig på en årlig plan. Skyddspolisen sammanställer varje år en granskningsplan som fastställs av chefen för skyddspolisen och som skickas till inrikesministeriets polisavdelning för kännedom. En granskningsberättelse upprättas över varje laglighetsgranskning. Berättelsen behandlas på den nivå som har behörighet att fatta beslut om de åtgärder som granskningen föranleder. Chefen för skyddspolisen ska omedelbart informeras om betydande fel och brister samt lagstridig verksamhet. Behandlingen av granskningsobservationerna, åtgärderna och uppföljningen av åtgärderna ska dokumenteras. I den interna laglighetskontrollen av skyddspolisen fästs särskild vikt vid hemliga tvångsmedel och hemliga metoder för informationsinhämtning samt behandlingen av personuppgifter och handlingar. 

Förutom anvisningen för laglighetsövervakning vid inrikesministeriet tillämpar skyddspolisen vid övervakningen av behandlingen av personuppgifter också Polisstyrelsens anvisning om intern laglighetsövervakning och vissa andra rättsliga frågor vid polisen (POL-2016-17212). I anvisningarna förutsätts att övervakningen av registerföringen och behandlingen av personuppgifter organiseras. De som utför övervakningen förutsätts ha tillräcklig kompetens om användningen av datasystemen och behandlingen av personuppgifter samt tillräckliga användarrättigheter för att kunna utföra övervakningen. 

Extern laglighetskontroll 

I dataskyddsförordningen föreskrivs om tillsynsmyndigheten och tillsynsmyndighetens befogenheter. Bestämmelser om tillsynsmyndighetens oberoende ställning, behörighet, uppgifter, befogenheter, samarbete och enhetlighet finns i kapitel VI—VII i dataskyddsförordningen. Medlemsstaterna ska kompletterande till dataskyddsförordningen föreskriva bl.a. om inrättandet av en tillsynsmyndighet samt om kompetens och kvalifikationer och villkor för lämplighet som krävs av tillsynsmyndighetens ledamöter. Bestämmelser om tillsynsmyndigheten som kompletterar dataskyddsförordningen finns i dataskyddslagen (RP 9/2018 rd), vars bestämmelser till stor del gäller just tillsynsmyndigheten. De nationella myndighetsuppgifterna enligt den allmänna dataskyddsförordningen koncentreras hos dataombudsmannen. 

Dataombudsmannen ska också vara tillsynsmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite (RP 31/2018 rd, s. 22—23). 

Också riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar efterlevnaden av lagstiftningen om behandling av personuppgifter som en del av den allmänna laglighetsövervakningen av myndigheter och tjänstemän. Båda två utför regelbundna kontroller för att granska lagenligheten av Polisstyrelsens verksamhet och behandlingen av personuppgifter. Riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar dessutom lagenligheten för verksamheten vid dataombudsmannens byrå. 

Målsättning och de viktigaste förslagen

3.1  Målsättning

Lagförslaget 1 i propositionen kompletterar den allmänt tillämpliga lagstiftningen om genomförandet av dataskyddsdirektivet samt EU:s dataskyddsförordning och den kompletterande dataskyddslagen till den del de nödvändiga genomförandebestämmelserna inte ingår i de nämnda författningarna. Den viktigaste målsättningen med propositionen är att polisens nya personuppgiftslag uppfyller kraven i EU-lagstiftningen om dataskydd, med beaktande av brottsbekämpningsbehoven och kraven på skyddet för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna. 

En målsättning med propositionen är också att förtydliga och förenkla bestämmelserna om behandling av personuppgifter i polisens verksamhet med beaktande av de anmärkningar om den gällande lagens struktur och innehåll som framgår av förvaltningsutskottets betänkande (FvUB 26/2013). Problemen med den gällande lagens struktur är till stor del en följd av att lagen har ändrats i flera etapper utan att ändringarnas lagstiftningstekniska konsekvenser har kunnat bedömas grundligt ur ett helhetsperspektiv. Det har också ansetts att lagen delvis är komplicerad och svår att tolka för de polisenheter som tillämpar den. Den största ändringen som föreslås gäller lagstiftningstekniken, och syftet med denna ändring är att lagen ska bli lättare att tillämpa. En annan målsättning med propositionen är att iaktta de krav på en detaljerad och noggrant avgränsad lagstiftning som framställts i tolkningspraxisen när det gäller grundlagen och människorättskonventionerna. 

I lagförslag 1 i propositionen tas dessa krav i beaktande samtidigt som lagstiftningen ändras så att den möter de viktiga och centrala behov i fråga om personuppgiftsbehandling och dataskydd som föranletts av förändringarna verksamhetsmiljön. Polisens grundläggande uppgifter och ändamål med behandlingen av personuppgifter har inte förändrats efter att polisens gällande personuppgiftslag stiftades, och tillämpningsområdet för polisens personuppgiftslag förändras inte heller. Förändringarna i verksamhetsmiljön och reformen av dataskyddslagstiftningen har dock lett till ett ökat behov av att säkerställa att personuppgifter som fås genom informationsutbyte, kriminalunderrättelseinhämtning och informationsinhämtning som baserar sig på öppna källor behandlas på behörigt sätt. 

3.2  Alternativ

3.2.1  3.2.1 Registerbaserad reglering och reglering som grundar sig på ändamålet med behandlingen

Den gällande lagen om behandling av personuppgifter i polisens verksamhet utgår från en reglering av informationssystem och de uppgifter som registreras i dem. I praktiken behandlas uppgifter i polisens riksomfattande informationssystem i flera olika tekniska applikationer. De informationssystem som nämns i 2 kap. utgör dock ett särskilt personregister, dvs. regleringslösningen är registerbaserad. 

Fördelen med registerbaserad reglering kan anses vara att den när regleringen är kombinerad med detaljerade förteckningar över datainnehåll är regleringen tydlig, noggrant avgränsad och detaljerad på det sätt som grundlagsutskottet förutsätter. Av den gällande lagens bestämmelser om informationssystemen framgår det i detalj vilka uppgifter som får registreras i varje informationssystem. Det kan anses att den detaljerade regleringen är tydlig och förutsägbar också för lagtillämparna och de registrerade. En eventuell nackdel med en reglering som utgår från behandlingsändamålen kan anses vara att lagens bestämmelser ur slutanvändarens synvinkel inte tydligt anger i vilka register eller delar av ett informationssystem personuppgifterna ska registreras, vilket kan öka risken för fel. Den nya regleringen kräver att den personuppgiftsansvarige tillhandahåller anvisningar och utbildning. Samtidigt krävs detta i samband med lagstiftningsreformen oavsett vilken regleringslösning som väljs. 

I praktiken finns det inte några betydande skillnader mellan den registerbaserade regleringen och den föreslagna nya regleringen som grundar sig på ändamålet med behandlingen, utan det är närmast fråga om olika sätt att skriva bestämmelserna. Ett personregister hänvisar i sig inte till ett visst tekniskt informationssystem, utan ett personregister kan å ena sidan fungera i flera olika informationssystem och å andra sidan kan det finnas uppgifter ur flera olika personregister i samma informationssystem. Separata personregister inrättas med ändamålet med behandlingen av uppgifterna som grund. 

Registerbaserad reglering och reglering som grundar sig på ändamålet med behandlingen skiljer sig inte heller på något betydande sätt med tanke på exakthet och noggrann avgränsning. Det krav på en detaljerad och noggrant avgränsad lagstiftning relaterade till bestämmelserna om behandling av personuppgifter som framgår av grundlagsutskottets tolkningspraxis bedöms vara möjliga att uppfylla likaväl genom registerbaserad reglering som genom reglering som grundar sig på ändamålen med behandlingen. En reglering som grundar sig på ändamålen med behandlingen kombinerad med att förteckningarna över datainnehåll för de vanligaste uppgiftskategorierna slopas skulle dock till sin karaktär vara enklare än den gällande regleringen av register. I samband med beredningen har lagberedarna bedömt i vilken mån det skulle gå att förenkla regleringen, dock så att det samtidigt säkerställs att regleringen är tillräckligt noggrant avgränsad. 

Det är svårt att hålla de detaljerade förteckningarna över uppgifter uppdaterade, eftersom det när lagen stiftas är omöjligt att i detalj förutse alla behov att behandla uppgifter. Fördelen med en reglering som utgår från behandlingsändamål och uppgiftskategorier har ansetts vara att det på så sätt inte uppstår ett behov av att ändra lagstiftningen varje gång som det uppstår behov av att behandla nytt datainnehåll. Behovet av flexibilitet betonas i synnerhet i en omvärld som förändras snabbt, där det är viktigt att polisen hela tiden har tillräckliga rättigheter för att behandla de personuppgifter som behövs för skötseln av polisens uppgifter. Vidare ska det noteras att EU-lagstiftningen om dataskydd förutsätter att kraven i lagstiftningen ska gälla all behandling av personuppgifter oberoende av vilken behandlingsteknik och teknologi som använts. 

En reglering som grundar sig på ändamålsbunden personuppgiftsbehandling bedöms också förtydliga indelningen av ändamålen med personuppgiftsbehandlingen enligt dataskyddsförordningen och dataskyddsdirektivet i ursprungliga behandlingsändamål och sådan personuppgiftsbehandling som är förenlig med dessa. Det preciserar också regleringens förhållande dels till dataskyddsförordningen och dels till dataskyddsdirektivet, vilkas tillämpningsområden utgår från ändamål med behandlingen. Enligt dataskyddsdirektivet krävs att det i medlemsstaternas nationella lagstiftning ska specificeras åtminstone syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Även enligt dataskyddsförordningen krävs nationell kompletterande lagstiftning i situationer där behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet eller där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. Valet i den nationella lagstiftningen mellan en registerbaserad regleringslösning eller en lösning som utgår från ändamålen med behandlingen begränsas dock inte i något avseende av EU-lagstiftningen om dataskydd. 

I de bestämmelser som utgår från behandlingsändamålen måste det ovannämnda kravet på exakthet och noggrann avgränsning som framgår av grundlagsutskottets tolkningspraxis dock beaktas. En förenklad reglering ökar behovet av anvisningar från den personuppgiftsansvarige. Med tanke på kravet på en noggrant avgränsad reglering bör det observeras att dessa anvisningar inte får komplettera registrens uppgiftsinnehåll, utan de ska precisera hur bestämmelserna ska tolkas. I samband med en övergång till en reglering som utgår från ändamålen med behandlingen måste också bestämmelserna om utlämnande av personuppgifter, tidsfrister för radering av personuppgifter och den registrerades rättigheter bedömas på nytt, och då gäller det att tillräckligt noggrant knyta bestämmelserna till ändamålen med behandlingen. 

3.2.2  3.2.2 Bestämmelser om skyddspolisen

När skyddspolisen behandlar personuppgifter för att utföra sina uppgifter, dvs. för att skydda den nationella säkerheten, omfattas denna personuppgiftsbehandling inte av EU-rätten. Nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet. Av denna anledning måste det genom nationell lagstiftning föreskrivas om personuppgifter som ska behandlas på grundval av nationell säkerhet. På skyddspolisens behandling av personuppgifter i anknytning till skyddande av den nationella säkerheten tillämpas utifrån den nationella lösningen som allmän lag dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap. 

Beträffande skyddspolisen har två alternativ undersökts, att bevara den regleringslösning som används i den gällande lagen och ta in den i lagförslag 1, varvid bestämmelserna skulle utgöra en del av polisens övriga ändamål med behandlingen av personuppgifter, och att ta in bestämmelserna i ett särskilt kapitel. Syftet har varit att beakta skyddspolisens ändrade ställning som en polisenhet som lyder under inrikesministeriet så man samtidigt säkerställer skyddspolisens rätt att få de personuppgifter som behövs för skötseln av dess uppgifter också när det gäller uppgifter som omfattas av Polisstyrelsens registerföring. Med tanke på skyddandet av den nationella säkerheten är det av största vikt att skyddspolisen har tillgång också till personuppgifter som behandlas av den övriga polisen, vilket stöder att regleringen om skyddspolisen placeras i samband med de bestämmelser om ändamålen med behandlingen som gäller den övriga polisen. Det bör dock beaktas att skyddspolisen genom ändringen 806/2015 av polisförvaltningslagen från och med ingången av 2016 flyttas från att ha varit en nationell polisenhet under Polisstyrelsen till en nationell polisenhet under inrikesministeriet. Behandlingen av personuppgifter inom skyddspolisen sker således inte längre under Polisstyrelsens styrning och övervakning. 

I samband med beredningen bedömdes också inverkan av propositionen om lagstiftning om civil underrättelseinhämtning (RP 202/2017 rd) på bestämmelserna om skyddspolisens behandling av personuppgifter. Ett centralt mål med lagstiftningen om civil underrättelseinhämtning är att förbättra det finländska samhällets möjligheter att skydda sig mot allvarliga hot som riktas mot den nationella säkerheten, såsom terrorism, främmande staters spioneri mot Finland, massförstörelsevapen och hot mot samhällets vitala funktioner. Om skyddspolisen i och med lagstiftningen om civil underrättelseinhämtning får nya befogenheter ska personuppgifter som hänför sig till information som inhämtats genom dessa nya befogenheter registreras i skyddspolisens funktionella informationssystem på motsvarande sätt som personuppgifter som hänför sig till information som inhämtats med hjälp av de redan befintliga befogenheterna. Med andra ord ska det föreskrivas om registrering och behandling av personuppgifter som inhämtats genom de nya befogenheterna i samband med bestämmelserna om registrering och behandling av andra personuppgifter vid skyddspolisen. 

3.3  De viktigaste förslagen

I denna proposition föreslås att det ska stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Lagen ersätter den gällande lagen om behandling av personuppgifter i polisens verksamhet. Lagens struktur och innehåll revideras så som riksdagen har förutsatt, och Europeiska unionens nya dataskyddslagstiftning beaktas. 

3.3.1  3.3.1 Lagens struktur och behandling av personuppgifter som utgår från ändamålen med behandlingen

Enligt förslaget ska lagens struktur och innehåll omarbetas i sin helhet. I lagen föreskrivs inte längre separat om registrering och användning av uppgifter, utan om ändamålet med behandlingen av uppgifter. Ändamålen med behandlingen knyts till polisens lagstadgade uppgifter. Samtidigt föreslås det att bestämmelser som överlappar med och är onödiga i förhållande till den allmänna lagstiftningen om personuppgiftsbehandling stryks och att lagens detaljerade karaktär, som ger upphov till kontinuerliga ändringsbehov, frångås. 

Kategorier av personer som får registreras samt grundläggande uppgifter om de behandlades identitet och andra personuppgifter som behandlas ska framgå tillräckligt detaljerat av den ändamålsbegränsade regleringen. Avvikande från den gällande lagen föreslås det att de grundläggande uppgifter om en person som får behandlas ska regleras i en paragraf (4 §), som gäller alla ursprungliga behandlingsändamål enligt 2 kap. Förteckningen över grundläggande personuppgifter har i motsvarighet till den gällande lagen utformats så att den är uttömmande. 

I fråga om övriga personuppgifter som ska behandlas föreslås för att förbättra lagens struktur och tydlighet samt för att undvika de fortgående ändringsbehoven att man slopar de detaljerade förteckningarna över datainnehåll. Det föreslås att datainnehållet skrivs ut på ett uttömmande sätt, men samtidigt mer flexibelt än för närvarande. I lagen föreskrivs då inte längre vilka enskilda personuppgifter som får registreras i respektive register, utan om uppgiftskategorier innehållande de personuppgifter som polisen får behandla för skötseln av sina uppgifter. Det mer detaljerade innehållet i uppgiftskategorierna bestäms utifrån ändamålet med behandlingen. För att personuppgifter ska få behandlas ska de alltid vara behövliga med tanke på ändamålet med registret och i fråga om särskilda kategorier av personuppgifter nödvändiga. I bestämmelserna om ändamål med behandling av personuppgifter ska dessutom fortfarande utöver om personkategorier föreskrivas om sådan behandling av personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen och i fråga om vilka det bedöms att personkategorierna framgår med tillräcklig noggrannhet i annan lagstiftning om polisens uppgifter. 

En reglering som grundar sig på ändamålen med behandlingen gör det möjligt att förtydliga regleringen också på så sätt att vissa av bestämmelserna i den gällande lagen blir onödiga. Bestämmelser om behandling av uppgifter som inte hänför sig till ett visst uppdrag behövs inte längre på motsvarande sätt som i 12 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet, eftersom villkoren för behandlingen också av dessa uppgifter bestäms direkt i enlighet med ändamålen med behandlingen enligt 2 kap. Bestämmelser om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder motsvarande de i 11 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet behövs heller inte längre, eftersom registreringen av de personuppgifter som polisen behandlar i vissa namngivna informationssystem inte längre regleras på lagnivå. Bestämmelser om villkoren för användning av överskottsinformation finns i 5 kap. 54 § i polislagen och om användningen av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder i 10 kap. 56 § i tvångsmedelslagen. 

I lagförslaget ingår inte heller bestämmelser om användning av uppgifter för ett ändamål som motsvarar det ändamål som uppgifterna har samlats in och registrerats för (15 § i den gällande lagen), eftersom det i lagen inte längre separat föreskrivs om registrering och annan behandling av uppgifter. På motsvarande sätt föreskrivs det inte heller längre om utlämnande av uppgifter mellan polisenheter (17 och 18 § i den gällande lagen), eftersom de personuppgifter som avses i lagen ingår i Polisstyrelsens riksomfattande registerföring, med undantag av de personuppgifter som skyddspolisen behandlar med stöd av 7 kap. Den föreslagna regleringen av informationsutbytet mellan Polisstyrelsen och skyddspolisen beskrivs i avsnitt 3.3.4 om behandling av personuppgifter vid skyddspolisen. 

Strävan har dessutom varit att i de föreslagna bestämmelserna undvika onödiga överlappningar med den allmänt tillämpliga dataskyddslagstiftningen. I lagförslag 1 i propositionen stryks sådana bestämmelser som ingår i dataskyddsförordningen eller dataskyddslagen avseende brottmål. Exempelvis bestämmelserna om skydd av identifieringsuppgifter som grundar sig på fysiska egenskaper i den gällande lagen (10 a §) föreslås bli slopade då de överlappar den allmänna lagstiftningen. 

Som en följd av den nya regleringslösningen gäller lagen polisens behandling av personuppgifter också innan uppgifterna registreras i informationssystemet för polisärenden för en längre tid. Detta förberedande behandlingsskede för uppgifterna beaktas i bestämmelserna om bedömning av betydelsen av uppgifterna, där det föreskrivs om polisens möjligheter att behandla personuppgifter för bedömning av behovet av dem. 

3.3.2  3.3.2 Behandling av personuppgifter för förebyggande och avslöjande av brott

Enligt förslaget ska 4 § i den gällande lagen, som gäller informationssystemet för misstänkta, ersättas med en ändamålsbegränsande bestämmelse om behandling av personuppgifter som anknyter till förebyggande och avslöjande av brott. Vid utformningen av den föreslagna paragraferna om behandling av personuppgifter för förebyggande och avslöjande av brott har uppmärksamhet fästs vid de förvaltningsutskottets anmärkningar som refererats ovan i fråga om informationssystemet för misstänkta (FvUU 40/2014 rd och FvUB 16/2014 rd). 

Paragrafen innehåller en uttömmande förteckning över de kategorier av personer som får registreras i informationssystemet. För registrering och annan behandling av personuppgifter i fråga om dessa kategorier av personer gäller särskilda behandlingskriterier. Det kan vara fråga om personer som med fog kan antas ha gjort sig skyldiga eller göra sig skyldiga till brott, som har kontakt med en sådan person eller som är föremål för sådan observation som avses i 5 kap. 13 § i polislagen. När det gäller andra personer är behandlingen möjlig endast om det är nödvändigt med tanke på ändamålet med behandlingen. 

För förebyggande och avslöjande av brott får också personuppgifter i sådana temporära register för brottsanalys som avses i 6 § i den gällande lagen behandlas när de villkor som föreskrivs i de föreslagna 7 och 8 § uppfylls. På motsvarande sätt som i den gällande lagstiftningen om observationsuppgifter är syftet med förslagen till paragrafer om personuppgifter som gäller förebyggande och avslöjande av brott att flytta behandlingen av uppgifterna från enhetsspecifika register till riksomfattande registerföring. En utspridd lagring av uppgifter orsakar problem med tanke på övervakningen. Styrningen och övervakningen av behandlingen av personuppgifter och skyddet av uppgifterna underlättas när personuppgifter som behandlas för förebyggande och avslöjande av brott behandlas enhetligt i enlighet med riksomfattande processer. Det bedöms också att detta förbättrar de registrerades rättsskydd. 

På samma sätt som i den gällande lagen föreslås det bestämmelser om att polisen har rätt att registrera uppgifter om observationer som gjorts av poliser eller uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet (observationsuppgifter). Formuleringen ”en persons hotelser eller uppträdande i övrigt” förenklas till ”en persons uppträdande”, eftersom en persons hotelser kan anses ingå i personens uppträdande. Bestämmelserna om observationsuppgifter flyttas dessutom till de övriga bestämmelserna om förbyggande eller avslöjande av brott (8 §). Till sakinnehållet motsvarar punkten 2 § 3 mom. 11 punkten om observationsuppgifter i den gällande lagen. 

Den registrerades rätt till insyn omfattar enligt den gällande lagen varken uppgifter i informationssystemet för misstänkta eller observationsuppgifter. Dataombudsmannen får emellertid på begäran av den registrerade kontrollera att uppgifterna om den registrerade är lagenliga. Enligt propositionen ska en registrerad i framtiden delvis ha rätt till direkt insyn i personuppgifter som behandlas för förebyggande och avslöjande av brott. Den direkta insynsrätten omfattar inte uppgifter om polisens taktiska och tekniska metoder, observationsuppgifter och uppgifter från informationskällor, uppgifter som används för teknisk undersökning samt personuppgifter som behandlas för bedömning av deras betydelse. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 29 § i dataskyddslagen avseende brottmål. 

3.3.3  3.3.3 Behandling av personuppgifter för andra ändamål än det ursprungliga

Den nya EU-lagstiftningen om dataskydd förutsätter att personuppgifter i regel ska behandlas endast för det lagstadgade ändamål för vilket de har samlats in. Dataskyddslagstiftningen möjliggör emellertid behandling av personuppgifter även för andra lagstadgade ändamål, om behandlingen är nödvändigt och proportionell. I dataskyddsdirektivet har principen om förenlig behandling av personuppgifter dock i viss mån skärpts i förhållande till den tidigare EU-regleringen, och även förenlig personuppgiftsbehandling är tämligen strikt bunden till direktivets tillämpningsområde. Med hänsyn till grundlagsutskottets tolkningspraxis är det också viktigt att regleringen är tillräckligt detaljerad och noggrant avgränsad. 

Behandling av personuppgifter för andra ändamål än det ursprungliga motsvarar i huvudsak 16 och 16 a § i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar. I bestämmelserna beaktas också polisens behov av att jämföra uppgifter om samma person som registrerats i olika register, när vissa villkor uppfylls. Bestämmelserna indelas för tydlighetens skull i tre olika paragrafer (13—15 §), bl.a. för att beakta särställningen för uppgifter som hör till särskilda kategorier av personuppgifter. 

Av de föreslagna utvidgningarna är 14 § 4 mom. viktigast, som gäller användning av fingeravtrycksuppgifter som har samlats in med stöd av 131 § i utlänningslagen för andra ändamål än det ursprungliga. I nuläget får fingeravtrycksuppgifter som införts i polisens register med stöd av utlänningslagen användas för andra ändamål än de som uppgifterna ursprungligen samlats in för under samma förutsättningar som fingeravtrycksuppgifter i pass. Det föreslås att bestämmelsen om användningen av fingeravtryck som registrerats med stöd av 131 § i utlänningslagen ska utvidgas så att det är möjligt att använda fingeravtryck förutom för förenliga behandlingsändamål som gäller fingeravtrycksuppgifter i pass även för att förebygga, avslöja eller utreda terroristbrott och andra grova brott som avses i Eurodacförordningen (EU) nr 603/2013. En förutsättning för att fingeravtrycksuppgifter ska kunna användas är att det är nödvändigt för identifieringen av en person. 

En betydande utvidgning är också 15 § 2 mom., enligt vilket centralkriminalpolisen i vissa situationer för bedömning av förutsättningarna för beviljande eller giltighet av tillstånd får göra en anmälan som grundar sig på personuppgifter som behandlas för förebyggande och avslöjande av brott. Anmälan får grunda sig endast på uppgifter om sådana personkategorier som avses i 7 § 2 mom. och stränga villkor föreskrivs för att göra en anmälan. 

3.3.4  3.3.4 Behandling av personuppgifter vid skyddspolisen

Det har bedömts som den mest ändamålsenliga lagtekniska lösningen att bestämmelserna om skyddspolisens behandling av personuppgifter ingår i ett eget kapitel. På så sätt är det möjligt att tydligt skilja åt de uppgifter som hör till skyddspolisens registerföring, om vilka det föreskrivs i 7 kap. i lagförslag 1, samt de uppgifter som hör till Polisstyrelsens registerföring, om vilka det föreskrivs i 1—5 och 8 kap. i lagförslag 1. Bestämmelser om informationsutbyte mellan skyddspolisen och den övriga polisen finns i bestämmelserna om rätt att lämna ut och få uppgifter i lagförslaget, vilket bedöms säkerställa att ansvaret i anknytning till behandlingen av personuppgifter faller på rätt instans. 

I lagförslaget ska också beaktas skyddspolisens ändrade ställning som en riksomfattande polisenhet som lyder under inrikesministeriet. Behandlingen av personuppgifter inom skyddspolisen sker inte längre under Polisstyrelsens styrning och övervakning. För att beakta den skyddspolisens ändrade ställning föreslås i lagen bestämmelser om utlämnande av personuppgifter mellan skyddspolisen och de övriga polisenheterna. Bestämmelser om utlämnande av personuppgifter som hör till Polisstyrelsens registerföring finns i 4 kap. och om utlämnande av skyddspolisens personuppgifter till övriga polisenheter i 7 kap. I 7 kap. som gäller skyddspolisen föreskrivs dessutom om skyddspolisens rätt att få uppgifter också när det gäller de personuppgifter som ingår i Polisstyrelsens registerföring. I 3 och 7 kap. beaktas också skyddspolisens möjlighet att lämna ut personuppgift till polisens personregister genom registrering via direkt anslutning eller som en datamängd. 

Med undantag av att bestämmelserna flyttas till ett eget kapitel och bestämmelserna om utlämnande av uppgifter mellan skyddspolisen och övriga polisenheter föreslås inte några stora, principiella ändringar jämfört med den gällande regleringen. Personuppgifter kan precis som nu behandlas på det sätt som uppdraget förutsätter. Därtill föreskrivs det om utlämnande av uppgifter i en separat paragraf. 

Vid behandlingen av bestämmelserna om skyddspolisens behandling av personuppgifter ska dessutom beaktas lagstiftningsförslagen om civil och militär underrättelseinhämtning (RP 202/2017 rd och RP 203/2017 rd). De nya underrättelseinhämtningsmetoder som föreslås för skyddspolisen och Försvarsmakten är samordnade och av denna orsak bör bestämmelserna om skyddspolisens och Försvarsmaktens behandling av personuppgifter till sin grund vara så enhetliga som möjligt. Av denna orsak ingår i propositionen också en motsvarande bestämmelse om behandling av personuppgifter för bedömning av deras betydelse som det gör i den föreslagna lagen om behandling av personuppgifter inom Försvarsmakten (RP 13/2018 rd). 

I fråga om lagringstid och inskränkning av den registrerades rätt till insyn föreslås inga ändringar jämfört med den gällande lagen. I 54 § i lagförslag 1 i propositionen finns emellertid en ny bestämmelse där det föreskrivs om uppdatering av personuppgifter i system med hög informationssäkerhetsnivå som innehåller uppgifter som ska behandlas för att skydda den nationella säkerheten och som därmed är förknippade med särskilda informationssäkerhets- och dataskyddsrisker. Syftet med den föreslagna bestämmelsen är att ge skyddspolisen rätt att uppdatera sitt informationssystem så att inte uppgifter från ett system med högre dataskyddsnivå överförs till ett system med lägre dataskyddsnivå i samband med en förfrågan. Bestämmelsen har ansetts vara nödvändig för att inte skyddspolisen ska äventyra de personers säkerhet som är föremål för informationsinhämtning. 

Propositionens konsekvenser

4.1  Ekonomiska konsekvenser

Lagen om behandling av personuppgifter i polisens verksamhet kompletterar EU:s dataskyddslagstiftning och dess allmänt tillämpliga genomförandelagstiftning. Genomförandet av de tvingande kraven enligt dataskyddsförordningen, dataskyddsdirektivet och dataskyddslagen avseende brottmål orsakar direkta kostnader i form av t.ex. ändringar i informationssystemen. Kostnaderna kan dock till denna del inte anses föranledas av reformen av lagen om behandling av personuppgifter i polisens verksamhet, utan kostnaderna för regleringen i anledning av EU:s dataskyddsreform ingår i den allmänna lagstiftningen. 

Propositionen innehåller dessutom nationell reglering i fråga om vilken de direkta ekonomiska konsekvenserna orsakas av de förslagna bestämmelserna om ändamål med behandlingen som avses i 2 kap. samt bestämmelserna om radering av uppgifter i 5 kap., som till viss del kräver ändringar i informationssystemen. 

Som propositionens indirekta ekonomiska konsekvenser kan betraktas behoven att utveckla övervakningen och informationssystemen även i andra avseenden så att dataskydds- och informationssäkerhetsnivån förbättras. En ökad tillsyn och utveckling av nivån på dataskyddet beror till viss del på den allmänna lagstiftningen om informationssäkerhet, men till viss del beror ändringarna på behovet av ökad tillsyn och höjt dataskydd på grund av nationella behov, t.ex. en mer riksomfattande behandling av uppgifter i anslutning till att förebygga och avslöja brott samt behandling av uppgifter för att bedöma deras betydelse. Riksdagen har dessutom krävt att tillsynen över polisens register utvecklas (RSv 216/2013 rd). 

Både de kostnader som förpliktelserna enligt EU:s lagstiftning om behandling av personuppgifter och övriga extra kostnader som propositionen för med sig kan täckas inom de nuvarande ramarna för statsfinanserna och den godkända statsbudgeten genom att vid behov omfördela anslag. Kostnadsverkningarna beskrivs närmare i det följande. 

4.1.1  4.1.1 Konsekvenser av EU:s dataskyddsreform för informationssystemen

Dataskyddsförordningen och dataskyddsdirektivet har direkta och indirekta konsekvenser för polisens informationssystem. En del av de tvingade villkoren enligt dataskyddslagstiftningen beaktas redan i polisens informationssystem, men en del genomförs inom ramarna för pågående och kommande informationssystemsprojekt. 

Polisen reformerar som bäst sina centrala system för verksamhetsstyrning (Vitja-projektet). Genom verksamhetsstyrningssystemet Vitja ersätts bl.a. till tillämpliga delar det nuvarande informationssystemet för polisärenden (Patja) i den omfattning som avses i 2 kap. 2 § i polisens gällande personuppgiftslag samt informationssystemet för misstänkta (Epri). Polisstyrelsen fastställer årligen de ekonomiska ramarna för Vitja-projektet vars projektperiod är 1.10.2017—31.12.2020. De kostnader för Vitja-projektet som EU:s dataskyddsreform orsakar täcks med den befintliga finansieringen och därför bedöms dessa inte närmare i detta sammanhang. 

Kostnadsverkningar för polisens övriga system gäller i synnerhet de obligatoriska krav som gäller anteckningar om begränsning av användningen av personuppgifter på begäran av den registrerade eller någon annan myndighet eller en myndighet i en annan medlemsstat och begränsning av behandlingen av personuppgifter med tekniska metoder. Årligen för 2019—2020 beräknas dessa medföra sammanlagt ca 850 000 euro i underhållskostnader. 

Polisens informationssystem där personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen har byggts upp så att de till stor del redan uppfyller de krav på inbyggt dataskydd, dataskydd som standard och säker personuppgiftsbehandling som anges i dataskyddsförordningen. De största direkta kostnadsverkningarna av förordningen för polisens system uppkommer för den registrerade till följd av den i artikel 18 angivna rättigheten att kräva att behandlingen av personuppgifterna begränsas samt för den personuppgiftsansvarige till följd av den i artikel 19 angivna skyldigheten att underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. I synnerhet det tekniska genomförandet av rätten till begränsning av behandling enligt artikel 18 i dataskyddsförordningen kräver ändringar i informationssystemen. Dessa kostnader har det inte varit möjligt att närmare beräkna under beredningen. I lagförslag 1 i propositionen föreslås en bestämmelse om ett undantag från den registrerades rätt till begränsning av behandling enligt artikel 18 i förordningen. Det föreslagna undantaget sparar kostnader till följd av att en funktion om begränsning av behandlingen införs i de polisens system där personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen ingår. Undantaget innebär alltså en av nyttoeffekt av engångsnatur på polisens omkostnader. 

Kostnader föranleds också av den registrerades möjlighet att på elektronisk väg begära att få utnyttja sina rättigheter och av den registrerades rättighet att få de begärda uppgifterna i en allmänt tillämplig elektronisk form. EU:s lagstiftning kräver inte ovillkorligt att elektroniska ärendehanteringssystem införs för att den registrerade ska kunna utöva sina rättigheter. Regleringen styr dock den personuppgiftsansvarige att inom gränserna för vad som är möjligt införa e-tjänster. En så hög automatiseringsgrad som möjligt har också bedömts vara bästa sättet för polisen att på ett korrekt sätt sköta tillgodoseendet av den registrerades rättigheter. Användningen av de registrerades rättigheter antas öka i och med dataskyddslagstiftningen. Genom automatisering av arbetet kan man minska i synnerhet den anmärkningsvärda ökningen av antalet dagsverken som tillgodoseendet av granskningsrätten innebär. Automatiseringen medför i inledningsskedet kostnader för att bygga e-tjänsten och ändra källsystemen som uppgår till sammanlagt ca 500 000 euro 2019—2020. 

4.1.2  4.1.2 Konsekvenser för informationssystemen till följd av nationell reglering

De största direkta konsekvenserna för informationssystemen på grund av den nationella regleringslösningen följer av de utvidgningar av den nuvarande behandlingen av personuppgifter som föreslås i 2 kap. Den största ändringen på informationssystemnivå anknyter till förslaget om en mer omfattande riksomfattande behandling av personuppgifter för att förebygga och avslöja brott än i dagsläget i 2 kap. De systemkostnader som ändringsförslaget orsakar täcks till denna del med finansieringen för Vitja-projektet, så de bedöms inte närmare i detta sammanhang. 

Också bestämmelsen om behandling av personuppgifter för andra ändamål än de som föreskrivs i dataskyddslagen avseende brottmål och som förslås i 2 kap. har konsekvenser för informationssystemen. Bestämmelsen gör det möjligt att i mer omfattande utsträckning än i dagsläget behandla personuppgifter riksomfattande, t.ex. vid hantering av hittegods. Inrättandet av ett eventuellt nytt informationssystem medför kostnader som dock inte kan anses följa direkt av ändringarna i polisens personuppgiftslag eller den övriga dataskyddslagstiftningen. Förutom det föreslagna 2 kap. medför också de ändringar som föreslås i bestämmelserna om utplåning dessutom betydande konsekvenser för informationssystemen. I propositionen föreslås en övergångsperiod på fyra år, inom vilken de ändringar som den nationella regleringslösningen kräver kan genomföras inom ramarna för polisens informationssystemsprojekt. 

Syftet med bestämmelserna i 2 kap. i lagförslag 1 är en teknologineutral reglering om behandlingen av personuppgifter. På så sätt kan informationssystemen utvecklas så att det får en minskande effekt på polisens manuella arbete. På lång sikt kan en positiv effekt av regleringen vara att statens utgifter minskar. 

4.1.3  4.1.3 Behandling av personuppgifter vid skyddspolisen

Den allmänna lagen för reglering av behandlingen av personuppgifter vid skyddspolisen ska vara dataskyddslagen avseende brottmål. Hänvisningen till en lag som bygger på dataskyddsdirektivet medför i stor utsträckning samma krav på skyddspolisen som på andra myndigheter som hör till direktivets tillämpningsområde. I och med de informationssystemsprojekt som redan genomförts och som pågår för tillfället uppskattas det emellertid att skyddspolisens informationssystem redan uppfyller kraven i den nya dataskyddslagstiftningen. Systemen behöver således inte ändras i någon betydande grad. De krav som följer av lagprojekten beaktas inom ramen för finansieringen av och tidtabellen för systemprojekten. 

Skyddspolisens funktionella informationssystem är föremål för ett exceptionellt allvarligt intresse för olagligt inhämtande av information. Beträffande inbyggt dataskydd och dataskydd som standard har skyddspolisens informationssystem genomförts så att de bedöms uppfylla de särskilda krav som ställs på dem när det gäller kränkningar av informationssäkerheten och beredskap inför sådana. Sannolikt blir det dock nödvändigt att göra vissa ändringar i de övriga informationssystemen. Följaktligen uppskattas administreringen av integreringarna föranleda anslutnings- och utrustningskostnader till ett belopp av cirka 150 000 euro samt i en betydande omfattning även arbetskraft. Beroende på vilka ändringsarbeten som krävs uppskattas arbetskraftsinsatsen uppgå till 75 000—300 000 euro per år. 

4.1.4  4.1.4 Konsekvenser för företagen

Europeiska kommissionen har i sin egen konsekvensbedömning på EU-nivå poängterat att en enhetligare och mer detaljerad reglering av personuppgiftsbehandling i anslutning till brottmål i alla EU-medlemsländer kommer att förtydliga rättsläget och öka företagens förtroende för polisens behandling av personuppgifter. Kommissionen anser att detta har betydelse särskilt i situationer där en brottsbekämpande myndighet direkt kontaktar företag som verkar inom EU för att få eller lämna ut personuppgifter när det gäller tillhandahållande av gränsöverskridande tjänster. På motsvarande sätt ökar den allmänt tillämpliga dataskyddsförordningen myndigheternas förtroende för den behandling av personuppgifter som företagen utför. 

Till den del det handlar om informationsinhämtning från inhemska företag motsvarar bestämmelserna i lagförslag 1 huvudsakligen den gällande regleringen, varför lagförslaget till denna del inte antas påverka företagens verksamhet i någon betydande grad. I förslaget beaktas också att personuppgifter som behandlas av polisen i vissa situationer får överföras till företag. Dessa behandlingssituationer anknyter i synnerhet till framställning och leverans av tillståndshandlingar till enskilda genom förmedling av ett företag. Syftet med lagförslaget är att säkerställa att personuppgifter behandlas som sig bör i dessa situationer både hos polisen och i företag som behandlar uppgifter. En korrekt behandling av personuppgifter som anknyter till tillhandahållandet av tjänsten innebär i någon mån kostnadsverkningar också för företag. Företagen ska i synnerhet beakta karaktären för ansiktsbilder och fingeravtryck som behandlas biometriskt som hörande till särskilda kategorier av personuppgifter, vars behandling är förenad med högre dataskyddskrav än när det gäller andra personuppgifter. Propositionens lagförslag 1 har dock ingen betydande, självständig inverkan på dataskyddskraven för företag, utan konsekvenserna för företagen beror till största delen på att EU:s dataskyddslagstiftning ska iakttas. 

I 24 § i lagförslag 1 innebär att polisens tillståndsförvaltning får större möjligheter än i nuläget när det gäller att lämna ut personuppgifter till sammanslutningar och näringsidkare genom elektronisk kommunikation. Situationer när uppgifter ska lämnas ut anknyter t.ex. när uppgifter om vapentillstånd ska kontrolleras i företag som säljer vapen och när tillståndshandlingars giltighet ska kontrolleras exempelvis i banker och i andra organisationer enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) som erbjuder en identifieringstjänst. Vem som får ta emot uppgifter begränsas utifrån de uppgifter som föreskrivs någon annanstans i lagstiftningen. Med andra ord följer konsekvenserna för företag inte direkt av lagförslag 1, utan även de preciseras via den övriga lagstiftningen om de privata sammanslutningarnas och näringsidkarnas uppgifter. Bestämmelsen kan dock bedömas ha positiva konsekvenser för företagsverksamheten, när möjligheterna till tillförlitlig identifiering av en person förbättras och en större möjlighet till tillhandahållande av e-tjänster gör det smidigare att uträtta ärenden. 

4.2  Konsekvenser för myndigheterna

De bestämmelser i lagförslag 1 som avviker från den gällande lagen får konsekvenser för olika myndigheter. Konsekvenserna bygger delvis indirekt på kraven i EU:s dataskyddsförordning och dataskyddsdirektivet och delvis på nationella regleringslösningar. 

EU:s dataskyddslagstiftning kräver att varje personuppgiftsansvarig ska ha ett dataskyddsombud. Reformen av dataskyddslagstiftningen orsakar polisen direkta kostnader också genom de personalresurser som krävs för att sköta den personuppgiftsansvariges övriga förpliktelser. Som en indirekt ekonomisk konsekvens kan också anses vara behovet av att utbilda polisens personal, förutom allmänt för efterlevnaden av dataskyddslagstiftningen också för iakttagande av polisens nya personuppgiftslag, som har en regleringsstruktur som avviker från den tidigare och nytt innehåll. 

Propositionens lagförslag 1 utvidgar i synnerhet den riksomfattande behandlingen av personuppgifter i anknytning till att förebygga brott. Innehållet i de personuppgifter som behandlas blir i och med den förenklade regleringen öppnare än i dagsläget. Den nya regleringen i kombination med att den personuppgiftsansvariges ansvar accentueras i den nya EU-lagstiftningen om dataskydd ställer särskilda krav på att de personuppgiftsansvariga fäster särskild vikt vid tillsynen över registren. Den nya regleringen som grundar sig på ändamålet med behandlingen kommer att kräva ännu mer heltäckande anvisningar. 

De största konsekvenserna av EU:s dataskyddslagstiftning och dess genomförandebestämmelser samt lagförslag 1 gäller Polisstyrelsen, som i egenskap av personuppgiftsansvarig ansvarar för den behandling av personuppgifter som omfattas av tillämpningsområdet för polisens personuppgiftslag, med undantag av den behandling av personuppgifter vid skyddspolisen som avses i 7 kap. Konsekvenserna gäller i någon mån också skyddspolisen, som är registeransvarig för de uppgifter som avses i 7 kap., polisenheterna under Polisstyrelsen, dataombudsmannens byrå samt andra myndigheter som lämnar ut uppgifter till polisen eller tar emot personuppgifter från polisen. 

4.2.1  4.2.1 Polisstyrelsen och polisenheterna under den

Dataskyddsförordningen och dataskyddsdirektivet samt den allmänna genomförandelagstiftningen för dessa medför nya förpliktelser för den personuppgiftsansvarige exempelvis när det gäller att tillgodose de registrerades rättigheter, och striktare villkor för utlämnande av uppgifter till tredjeländer medför en administrativ börda framför allt när regelverket börjar tillämpas. Den administrativa bördan orsakas exempelvis av skyldigheten att på ett nytt sätt informera de registrerade om behandlingen av personuppgifter samt skyldigheten att informera dem om kränkningar av informationssäkerheten. Den administrativa bördan konkretiseras exempelvis i form av upprättande och uppdatering av register över behandling av personuppgifter samt i form av utarbetande av anvisningar. 

I enlighet med EU:s nya dataskyddsbestämmelser ska de personuppgiftsansvariga uttryckligen visa att de följer regelverket om behandling av personuppgifter. Enligt den nya regleringen har de personuppgiftsansvariga också mer detaljerade registreringsskyldigheter än tidigare när det gäller behandlingen av personuppgifter, inbegripet skyldighet att dokumentera vilken typ av personuppgifter som har lämnats ut och till vem eller vilka. De personuppgiftsansvariga ska genomföra en konsekvensbedömning avseende dataskydd beträffande de nya åtgärderna för behandling av personuppgifter, vilket inte ingår som en explicit skyldighet i den gällande regleringen. I likhet med den gällande regleringen ålägger de nya bestämmelserna dessutom skyldighet att höra dataombudsmannen i vissa situationer, men också dessa bestämmelser är mer detaljerade än tidigare. Förutom att informera de registrerade om en personuppgiftsincident är den personuppgiftsansvarige i sådana situationer också skyldig att anmäla incidenten till dataombudsmannen. 

En betydande administrativ börda bedöms också orsakas av att de registrerade utnyttjar sina rättigheter mer aktivt än tidigare i och med att medvetenheten om dataskyddsregleringen ökar och tillsynsmyndigheterna får större befogenheter. Utöver ökad efterfrågan på grund av ökad medvetenhet innebär de registrerades större rättigheter (t.ex. rätt att begränsa behandlingen av uppgifter) samt ökad motiveringsskyldighet (t.ex. rätt att ta ut avgift av den registrerade för utövande av insynsrätten endast om den registeransvarige kan visa att begäran är uppenbart ogrundad eller orimlig) en ökad administrativ börda, trots en så hög automatiseringsgrad som möjligt när det gäller insynsrätten. 

Den personuppgiftsansvarige orsakas en administrativ börda också i det avseendet att personuppgiftsbiträdena ska förbinda sig till de nya kraven genom nya avtal. I EU-lagstiftningen om dataskydd beaktas förhållandet och de inbördes skyldigheterna mellan den personuppgiftsansvarige och personuppgiftsbiträdena i större detalj än tidigare. Utöver detta ska den personuppgiftsansvarige använda resurser till att utveckla personalens kompetens. Det uppstår oundvikligen ett behov av nya typer av anvisningar och utbildning i och med de mer detaljerade och striktare allmänna kraven på personuppgiftsbehandling, skillnaderna mellan tillämpningsområdena för dataskyddsförordningen och dataskyddsdirektivet samt ändringarna i den nationella regleringen av personuppgiftsbehandling inom polisen, såsom övergången till en reglering som utgår från behandlingsändamålen. De nationella regleringslösningarna och totalreformen av dataskyddsregleringen innebär i praktiken att hela personalen ska introduceras i den nya regleringen. Den personuppgiftsansvarige och de som utövar polisens interna laglighetskontroll ska också följa upp att kraven iakttas, vilket orsakar en administrativ börda. Dessutom gäller det att förnya alla de beslut genom vilka en annan myndighet har beviljats tillgång till polisens personuppgifter genom teknisk anslutning. 

Konsekvenserna av lagförslag 1 gäller också polisenheterna under Polisstyrelsen och deras personal. Konsekvenserna av EU-lagstiftningen om dataskydd blir mindre för polisinrättningarna än för de personuppgiftsansvariga. EU-lagstiftningen om dataskydd medför också mer detaljerade bestämmelser och ett större ansvar för behandlingen av personuppgifter i polisens vardagliga arbete, vilket framhäver betydelsen av utbildning och övervakning i fråga om användningen av registren, inklusive de närmaste chefernas övervakningsansvar. De poliser som behandlar personuppgifter orsakas också vissa utmaningar i och med att i stället för den allmänt tillämpade personuppgiftslagen kompletteras polisens personuppgiftslag av tre allmänt tillämpliga författningar, dataskyddsförordningen och dataskyddslagen som tillämpas på tillståndsärenden och relaterade tillsynsärenden samt en separat dataskyddslag avseende brottmål. På grund av tillämpningen av ett annat regelverk är dessutom tillämpningsområdena för dessa författningar förknippade med gränsdragningssituationer. Å andra sidan bedöms det att bestämmelserna i lagförslag 1 som är skrivna i en mer flexibel form innebär att tillämpningen av lagstiftningen blir smidigare och förbättrar möjligheterna att behandla de uppgifter som behövs för polisens verksamhet. De olika situationerna när det gäller att tillämpa dessa författningar konkretiseras tydligast i den personuppgiftsbehandling som utförs vid polisenheterna. 

Myndigheterna har redan proaktivt förberett sig på en del av kraven enligt den nya dataskyddsregleringen. Inom polisen har man redan före ikraftträdandet av EU:s nya dataskyddslagstiftning utvecklat en ny tillsyn över användningen av register. Registertillsynen och de resurser som används för den har effektiviserats och centraliserats vid polisens högsta ledning. Den administrativa börda som orsakas av de nya kraven blir lättare i och med att genomförandet fördelas över en längre tidsperiod. Polisstyrelsen har dessutom redan sedan tidigare ett utnämnt dataskyddsombud. Innehållet i dataskyddsombudets uppgifter har redan på förhand preciserats så att de i praktiken uppfyller kraven enligt dataskyddslagstiftningen. 

Polisstyrelsen ansvarar som enda personuppgiftsansvarig vid polisen för registerföringen i anslutning till det informationssystem som förs för skötseln av de uppgifter som anges i 1 kap. 1 § i polislagen och som hör till dataskyddsförordningens tillämpningsområde, vilket innebär att högre krav ställs på dataskyddsombudet. Samma personer ska vara dataskyddsombud även i fråga om sådan personuppgiftsbehandling som hör till dataskyddsdirektivets tillämpningsområde. 

I och med de förnyade bestämmelserna innebär också de ökade kraven på utveckling, dokumentering, uppföljning och rapportering en större administrativ börda vid alla enheter under Polisstyrelsen. Konsekvenserna av EU:s reformerade dataskyddslagstiftning kan dock inte anses följa av lagförslag 1, utan direkt av EU:s dataskyddslagstiftning och dess allmänna genomförandelagstiftning. 

4.2.2  4.2.2 Skyddspolisen

Skyddspolisen ansvarar i framtiden på samma sätt som i nuläget för registerföringen i anslutning till skyddspolisens funktionella informationssystem. Dessutom är skyddspolisen personuppgiftsansvarig för det register över säkerhetsutredningar som avses i säkerhetsutredningslagen. Behandlingen av personuppgifter inom skyddspolisen omfattas inte av tillämpningsområdet för EU:s dataskyddslagstiftning, på men på behandlingen av personuppgifterna tillämpas med vissa begränsningar dataskyddslagen avseende brottmål. Reformen av polisens personuppgiftslag medför inte några betydande ändringar i behandlingen av personuppgifter inom skyddspolisen. 

Skyddspolisen orsakas motsvarande konsekvenser som Polisstyrelsen till den del det är fråga om den administrativa börda som följer av den personuppgiftsansvariges ansvar. Skyddspolisen har ett utnämnt dataskyddsombud för skyddspolisens funktionella informationssystem, så till denna del förorsakar den nya dataskyddslagstiftningen inga behov av tilläggsresurser. Dataskyddsombudets uppgifter är dock precis som de uppgifter som sköts av motsvarande personer vid de övriga polisenheterna mer detaljerade än tidigare, och oavhängigheten i förhållande till den operativa verksamheten framhävs tydligare än tidigare. För registret över säkerhetsutredningar ska separat utnämnas ett dataskyddsombud, som medför en administrativ börda. De krav som ställs på dataskyddsombudet motsvarar de krav som fastställs i dataskyddsdirektivet. Skyddspolisen orsakas också motsvarande konsekvenser som de övriga polisenheterna när det gäller att utbilda personalen om de nya bestämmelserna och kraven och att övervaka att de iakttas. 

4.2.3  4.2.3 Dataombudsmannens byrå

För dataombudsmannens verksamhet medför propositionens ekonomiska konsekvenser främst ett personalresursbehov. Med stöd av dataskyddsförordningen och dataskyddslagen samt dataskyddslagen avseende brottmål ska den nationella tillsynsmyndigheten dataombudsmannen bland annat kontrollera att uppgiftsbehandlingen är lagenlig, om den registrerades rätt till insyn har inskränkts, samt utföra undersökningar, verifieringar och granskningar. Dessa skyldigheter konkretiseras i och med tillämpningen av lagförslag 1 i propositionen. I synnerhet de föreslagna ändringarna i regleringstekniken, såsom behandling av personuppgifter baserad på ändamålen med behandlingen, och ändringar i behandlingen av personuppgifter för förebyggande och avslöjande av brott kommer efter lagens ikraftträdande att förutsätta de tillsynsåtgärder som nämns ovan. Också den föreslagna behandlingen av personuppgifter för bedömning av uppgifternas betydelse innebär mer omfattande behandling av personuppgifter än tidigare och ökar därmed behovet av övervakning och styrning. Reformen av polisens personuppgiftslag bedöms medföra en administrativ börda för dataombudsmannens byrå på ca 1,5 årsverken. 

4.2.4  4.2.4 Övriga myndigheter

Bestämmelserna i det föreslagna 4 kap., där regleringstekniken ändras i förhållande till den gällande lagen, orsakar i viss mån en större administrativ börda förutom för polisen även för de övriga myndigheterna. Till den del det är fråga om utlämnande av personuppgifter till brottsbekämpande myndigheter och andra myndigheter som avses i dataskyddsdirektivet får uppgifter huvudsakligen utlämnas i samma situationer som tidigare trots att regleringstekniken ändras. Uppgifter kan även på samma sätt som nu utlämnas som en datamängd eller via en teknisk anslutning. Tillämpningen av de föreslagna nya bestämmelserna orsakar därmed inte några avsevärda ändringar i den administrativa bördan. Inte heller EU:s dataskyddslagstiftning för med sig några betydande ändringar i utlämnandet av personuppgifter i fråga om brottmål. 

Bestämmelserna i det föreslagna 4 kapitlet avviker inte heller till sitt innehåll i betydande grad från den gällande lagen till den del det är fråga om utlämnande av personuppgifter till andra myndigheter än de myndigheter som avses i dataskyddsdirektivet. Bestämmelserna möjliggör på samma sätt som i nuläget även i dessa situationer att personuppgifter under vissa förutsättningar kan utlämnas som en datamängd eller via en teknisk anslutning. Det föreslås i förhållande till den gällande lagen emellertid vissa ändringar i fråga om situationer där uppgifter lämnas ut. De medför eventuella kostnadseffekter närmast för den myndighet som tar emot personuppgifter speciellt i det fall att utlämnandet förutsätter att nya anslutningar öppnas eller att gränssnitt för förfrågningar byggs upp. Dessutom uppkommer kostnadsverkningar och en administrativ börda också när kraven i dataskyddslagstiftningen iakttas, i synnerhet när det gäller skyddet av personuppgifter. En del av dessa konsekvenser rör även polisen på det sätt som beskrivs ovan. 

Genom 54 § i propositionens lagförslag 1 ges skyddspolisen rätt att uppdatera sitt informationssystem genom att jämföra uppgifterna i systemet med andra myndigheters personregister. Den föreslagna bestämmelsen har konsekvenser för de myndigheter som har register ur vilka skyddspolisen uppdaterar personuppgifterna i sina informationssystem. Skyddspolisen ska för det första ha rätt att få uppgifterna avgiftsfritt. Det kan medföra kostnader och extra arbete för den personuppgiftsansvarige att hämta uppgifter ur informationssystem för granskning och eventuellt kombinera dem. Detta ska emellertid om det är möjligt beaktas när uppgifter ur ett material begärs och när sådana begäranden avgränsas. I praktiken orsakar en begäran om uppgifter i viss mån en administrativ börda för mottagaren av begäran. 

4.3  Samhälleliga konsekvenser

4.3.1  4.3.1 Konsekvenser för medborgarnas ställning i samhället och för det civila samhällets verksamhet

Dataskyddslagstiftningen är i väsentlig grad förknippad med medborgarens ställning i samhället, och syftet med den är att säkerställa att medborgarna kan utöva sina rättigheter när det gäller personuppgiftsbehandling. Det faktum att den registrerades rättigheter betonas kraftigare än tidigare i EU:s dataskyddslagstiftning och dataskyddslagen avseende brottmål kan förväntas förbättra medvetenheten på så sätt att de registrerade de facto kan utnyttja sina rättigheter i förhållande till de personuppgifter som polisen behandlar. I lagförslaget föreslås inskränkningar i de registrerades insynsrätt när det gäller vissa ändamål med behandlingen som omfattas av dataskyddsdirektivet, vilket till vissa delar medför en mer omfattande inskränkning av integritetsskyddet än tidigare. I fråga om dessa personuppgifter kan den registrerade dock utnyttja sin indirekta rätt till insyn med dataombudsmannens förmedling. I lagförslaget föreslås dessutom en begränsning i enlighet med artikel 18 i dataskyddsförordningen när det gäller behandling av personuppgifter för skötseln av polisens lagstadgade uppgifter. Konsekvenserna av de föreslagna begränsningarna med tanke på tillgodoseendet av de grundläggande fri- och rättigheterna enligt grundlagen bedöms närmare i avsnittet om propositionens förhållande till grundlagen och lagstiftningsordning. 

Även betoningen av den personuppgiftsansvariges ansvar kan bedömas ha en positiv inverkan på hur integritetsskyddet och individens rättigheter tillgodoses vid behandlingen av personuppgifter i polisens verksamhet. Dessutom är den personuppgiftsansvarige i regel skyldig att informera den registrerade om kränkningar av informationssäkerheten, vilket stärker den registrerades ställning. 

Ett av syftena med EU:s dataskyddslagstiftning är att underlätta polisens gränsöverskridande samarbete med de brottsbekämpande myndigheterna i andra medlemsstater, som i den nya regleringen jämställs med finländska personuppgiftsansvariga. Ett effektivare utbyte av personuppgifter mellan de behöriga myndigheterna i EU och i synnerhet överföring av personuppgifter utanför EU kan försvåra personers möjlighet att utöva sina rättigheter i anslutning till dataskyddet och i synnerhet att skydda sina personuppgifter från otillåten användning eller otillåtet utlämnande. Även en finländsk personuppgiftsansvarig har sämre möjligheter att övervaka hur uppgifterna används i dessa situationer trots att regleringen skärpts. I EU:s dataskyddslagstiftning har man fäst vikt vid behovet av att främja ett intensivare samarbete mellan dataskydds- och tillsynsmyndigheterna, för att dessa vid behov ska kunna utbyta uppgifter med sina utländska samarbetspartner. Genom detta kan man i viss mån främja tillgodoseendet av den registrerades rättigheter. Den registrerades rättigheter strävar man efter att säkerställa genom att ställa strängare kriterier för överföring av personuppgifter till tredjeländer. 

Polisen har med stöd av 2 kap. i lagförslag 1 rätt att på motsvarande sätt som enligt den gällande lagen behandla uppgifter som grundar sig på observationer som gjorts av polismän samt tipsuppgifter från allmänheten. Denna typ av personuppgifter ska behandlas som observationsuppgifter. Uppgifterna får med stöd av 7 § 5 mom. om observationsuppgifter också behandlas i fortsättningen, om uppgifterna med fog kan bedömas ha samband med brottslig verksamhet. I 4 kap. i lagförslag 1 finns uttryckliga bestämmelser som gör det möjligt att lämna ut personuppgifter till allmänheten. Syftet med bestämmelserna är att på motsvarande sätt som bestämmelserna i polisens gällande personuppgiftslag möjliggöra s.k. offentliga efterlysningar, varvid allmänhetens hjälp utnyttjas för att nå efterlysta personer. Dessa möjligheter har man redan tidigare strävat efter att utnyttja i allt högre grad, och de har ofta visat sig vara effektiva. I 4 kap. i lagförslag 1 föreslås också en bestämmelse med stöd av vilken det på polisens webbsida kan lämnas ut uppgifter t.ex. om att viss egendom har anmälts stulen. Möjligheten att kontrollera om egendom är stulen ger medborgarna service och förhindrar försäljning av stulen egendom, vilket bedöms ha brottsförebyggande verkan. 

Bestämmelserna om behandling av observationsuppgifter och utlämnande av uppgifter via det allmänna datanätet ökar medborgarsamhällets roll som ett element som stöder polisens arbete. Å andra sidan har innebär bestämmelser som gör snabbt och omfattande utlämnande av personuppgifter möjlig också en inskränkning av den personliga integritet som är föremål för behandlingen av personuppgifter, varför innehållet i personuppgifter som lämnas ut via det allmänna datanätet ska begränsas så mycket som möjligt. 

Ur medborgarnas synvinkel är det också viktigt att det i EU:s dataskyddslagstiftning och i bestämmelserna om genomförandet av den har fästs särskild vikt vid övervakningen av personuppgiftsbehandlingen. Bestämmelserna är mer detaljerade än bestämmelserna i den gällande allmänna personuppgiftslagen och bestämmelserna i polisens personuppgiftslag. Dessa ändringar anses öka förtroendet för den behandling av personuppgifter som utförs av polisen. Det faktum att en angivare av eller ett vittne till ett brott eller någon annan person som har samband med ett brott också själv kan bli införd i polisens personregister när det är nödvändigt för att förebygga eller avslöja brott, påverkar dock dessa personers ställning. De strängare kriterierna för behandling av personuppgifter som rör angivare och andra som har samband med brott samt övervakningen av personuppgiftsbehandlingen är av särskild vikt när det gäller att säkerställa att medborgarna vågar ange brott för polisen. 

4.3.2  4.3.2 Konsekvenser för jämlikheten, för barn och för jämställdheten mellan könen

Konsekvenser för jämlikheten 

Lagförslag 1 får som en del av genomförandet av dataskyddsförordningen och dataskyddsdirektivet en indirekt konsekvens för realiseringen av jämlikheten. Närmare bestämmelser än tidigare om behandling av uppgifter som hör till särskilda kategorier av personuppgifter hänför sig till likabehandling. I artikel 11 i dataskyddsdirektivet föreskrivs det dessutom om förbud mot så kallad etnisk profilering. Profilering som leder till diskriminering av fysiska personer på grundval av personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter är förbjuden i enlighet med bestämmelserna om grundläggande fri- och rättigheter. Behandling av genetiska uppgifter får exempelvis inte leda till att grupper i särskilt utsatt ställning diskrimineras i samhället. I praktiken bekräftar bestämmelserna det ovillkorliga förbudet mot diskriminering, som gäller redan på grundval av bestämmelserna om grundläggande fri- och rättigheter. Samtidigt hindrar bestämmelsen ändå inte av polisen utförd profilering av personer som misstänks ha samband med brottslig verksamhet, men den säkerställer att profileringen inte får leda till diskriminering. 

På realiseringen av jämlikhet inverkar dessutom indirekt de krav i den nya regleringen som gäller bedömningen av riskerna i anslutning till personuppgiftsbehandlingen, vilken konkretiseras i och med lagförslag 1. De största riskerna hänför sig till sådan behandling av personuppgifter som kan orsaka fysiska, materiella eller immateriella skador och behandling som kan leda till diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering, eller någon annan betydande ekonomisk eller social skada. Förutom vid behandling av uppgifter som hör till särskilda kategorier av personuppgifter eller andra känsliga personuppgifter kan det uppstå särskilda risker exempelvis i anslutning till personuppgifter rörande sårbara fysiska personer, framför allt barn, eller sådan behandling som inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade. Sådan behandling är t.ex. eventuella jämförelser mellan register i anknytning till tillämpningen av lagförslag 1. Den personuppgiftsansvarige ska i enlighet med EU:s dataskyddslagstiftning och dataskyddslagen avseende brottmål göra en konsekvensbedömning avseende dataskydd av nya åtgärder för behandling av personuppgifter, vilket inte ingår i den gällande lagstiftningen som en uttrycklig skyldighet. 

Anmärkningsvärt med tanke på jämlikheten är också den bestämmelse som föreslås i 2 kap. i lagförslag 1 som gäller begränsning av behandlingen av identifieringsuppgifter enligt 131 § i utlänningslagen för brottsförebyggande verksamhet. I den föreslagna bestämmelsen är behandlingen av uppgifterna dock begränsad endast till situationer där det är nödvändigt att använda uppgifterna för förebyggande, avslöjande eller utredning av allvarliga brott. Det bör påpekas att inte heller tillämpningen av denna bestämmelse får leda till diskriminering. 

Samtidigt främjas realiseringen av jämlikheten mer allmänt av den harmoniserade EU-regleringen, som garanterar att alla registrerade står i jämlik ställning inom EU när det gäller användningen av sina rättigheter som registrerad. I och med de nya bestämmelserna gäller lika höga krav i alla EU-medlemsstater i fråga om den registrerades rätt till insyn och dataskyddsmyndighetens övervakning av denna. Rättigheterna effektiviseras också av dataskyddslagstiftningens bestämmelser om administrativa påföljder, som kan följa bl.a. av att den registrerade förvägras rätten att övervaka behandlingen av sina egna personuppgifter. 

Konsekvenser för barn 

Barn anses vara särskilt utsatta för brott som begås i datanätet. Samtidigt begår också minderåriga och unga gärningsmän numera en stor del av sina brott i datanätet. Exempelvis olika typer av mobbning och trakasserier samt ärekränkningar begås allt oftare i datanätet.I lagförslaget beaktas också behoven av personuppgiftsbehandling i sådana situationer där man strävar efter att ingripa i unga återfallsförbrytares situation med andra metoder än straffrättsliga medel och på så sätt att förebygga nya brott. Bättre möjligheter för polisen att behandla personuppgifter för förebyggande verksamhet bedöms ha en förbättrande inverkan på barnets ställning. 

Både dataskyddsförordningen och dataskyddsdirektivet fastställer att den personuppgiftsansvarige är skyldig att på klarspråk informera de registrerade om deras rättigheter med särskild hänsyn till sårbara grupper, såsom barn. Denna skyldighet konkretiseras i samband med tillämpningen av lagförslag 1. Enligt finsk lagstiftning handlar det i regel om alla personer under 18 år. Skyldigheterna för den personuppgiftsansvarige gäller även polisen i sådana fall där den registrerade exempelvis är ett minderårigt brottsoffer, en person som gjort sig skyldig till en brottslig handling eller en tillståndssökande. 

I bestämmelserna om radering av personuppgifter i 5 kap. i lagförslag 1 har särskilt beaktats minderåriga som misstänks för en brottslig gärning. Uppgifter om minderåriga får inte bevaras lika länge som personuppgifter om myndiga. På så sätt strävar man efter att i enlighet med principen om barnets bästa begränsa de negativa effekter som personuppgiftsbehandling i anslutning till ett brott kan få på ett barns liv. 

Konsekvenserna för de grundläggande fri- och rättigheterna bedöm till övriga delar i avsnittet om propositionens förhållande till grundlagen och lagstiftningsordning. Konsekvenserna rör i synnerhet skyddet för privatlivet, men också jämlikheten och rättsskyddet. 

4.3.3  4.3.3 Konsekvenser för brottsbekämpning och säkerhet

Syftet med bestämmelserna dataskyddsförordningen och dataskyddsdirektivet och lagstiftningen om genomförandet av dessa är att underlätta polisens arbete genom att ge akt på de mer omfattande behoven av personuppgiftsbehandling i anslutning till förändringarna i verksamhetsmiljön och säkerhetsläget. Vidare ska de nya bestämmelserna påverka informationssäkerheten och säkerheten i informationssystemen som helhet så att brott som riktas mot dessa kan förebyggas. Denna typ av brott har blivit vanligare, och de kan orsaka betydande olägenheter och skador. 

Europeiska kommissionen har i sin konsekvensbedömning av dataskyddslagstiftningen (SEC(2012) 72 final) fäst vikt vid att verksamhet på nätet utsätter individer, också barn, bl.a. för skadat anseende, ekonomiska skador och rentav fysiska skador, som kan orsakas t.ex. av att uppgifter om individens hälsotillstånd publiceras utan hans eller hennes samtycke eller av trakasserier på nätet. De ekonomiska skador som orsakas av identitetsstölder har på EU-nivå uppskattats uppgå till sammanlagt 700 miljoner euro per år. Under de senaste åren har också allt allvarligare kränkningar av informationssäkerheten vid personuppgiftsbehandling förekommit. Även i Finland har man uppmärksammat allt fler former av brott som riktar sig mot och begås med hjälp av informationsteknik (Källa: Institutet för kriminologi och rättspolitik, Katsauksia 22/2017 - Rikollisuustilanne 2016). Den skärpta dataskyddsregleringen kan anses stödja förebyggandet av brott som begås på nätet och kränkningar av informationssäkerheten i fråga om personuppgifter, vilket även tjänar polisens målsättningar. 

Medborgarna är allt aktivare på nätet. Både företagen och de som använder deras tjänster behandlar i stor skala personuppgifter i datanätstjänster. Samtidigt flyttar också brottsligheten i allt större utsträckning till nätet. Av dessa orsaker innehåller 2 kap. i lagförslag 1 i propositionen bestämmelser som bedöms främja en effektiv kriminalunderrättelseinhämtning som en del av arbetet med att förebygga, avslöja och utreda brott som sker i datanätet. Också genom att myndigheterna garanteras tillräckliga rättigheter att lämna ut personuppgifter till varandra ökar direkt möjligheterna att avslöja och utreda brott samt risken för gärningsmän att bli fast. 

Konsekvenser som gäller förebyggande av brottslighet och utredning av brott bedöms följa tydligare av lagstiftningen om polisens befogenheter, och det är därför omöjligt att bedöma de faktiska konsekvenserna de nya bestämmelserna som föreslås om personuppgiftsbehandling i anslutning till kriminalunderrättelseinhämtning får. Det bedöms dock att bestämmelserna förbättrar polisens möjligheter att få uppgifter både om brott som sker på nätet och om andra brott. Syftet med de föreslagna bestämmelserna är dels att erbjuda effektiva medel för att gripa gärningsmän och utreda deras verksamhet och dels att förhindra brott och bättre kunna förutse eventuella hotfulla situationer. Målet är att de effektivare möjligheterna att behandla personuppgifter ska främja avslöjandet av brott och öka gärningsmännens risk att bli fast. Å andra sidan försöker man även säkerställa dataskyddet och rättssäkerheten för dem som anmäler ett brott och för andra utomstående som har någon anknytning till ärendet så att villigheten att anmäla brott inte lider genom att det för dessa personkategorier föreslås en högre tröskel för behandling av personuppgifter i anknytning till förebyggande och avslöjande av brott. 

Enligt Europols hotbedömning av gränsöverskridande och grov brottslighet 2017 är en av de största hotbilderna inom EU olika typer av brottslighet på nätet. Bestämmelserna i 4 kap. om utlämnande av personuppgifter har setts över för att säkerställa att bestämmelserna motsvarar polisens nuvarande behov i ljuset av brottslighetens hotbilder och statistik. Genom att myndigheterna garanteras tillräckliga rättigheter att lämna ut personuppgifter till varandra ökar direkt möjligheterna att avslöja och utreda brott samt risken för gärningsmän att bli fast. 

Beredningen av propositionen

5.1  Beredningsskeden och beredningsmaterial

Inrikesministeriet tillsatte den 28 januari 2016 ett lagstiftningsprojekt för en reform av lagen om behandling av personuppgifter i polisens verksamhet (SM064:00/2015). Projektets arbetsgrupp hade i uppgift att sammanställa ett förslag till regeringsproposition med förslag till lag om behandling av personuppgifter i polisens verksamhet samt till vissa lagar som har samband med denna. Det centrala målet med projektet var att totalrevidera polisens personuppgiftslag på så sätt att den svarar mot EU:s dataskyddslagstiftning som är föremål för revidering, med beaktande av behoven i brottsbekämpningen och de krav som följer av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna. Medlemmarna i arbetsgruppen representerade inrikesministeriets polisavdelning, inrikesministeriets gränsbevakningsavdelning, Polisstyrelsen, skyddspolisen, justitieministeriet, Brottspåföljdsmyndigheten, försvarsministeriet, huvudstaben, finansministeriet och Tullen. Därtill utnämnde dataombudsmannens byrå, centralkriminalpolisen och Rättsregistercentralen permanenta sakkunniga till arbetsgruppen. 

Den 23 maj 2017 förlängdes mandattiden för projektet till den 28 februari 2018. Samtidigt justerades beslutet om tillsättande så att där beaktas att justitieministeriet tillsatt en arbetsgrupp för att bereda ett förslag till allmän lagstiftning för genomförande av EU:s dataskyddsdirektiv. 

Projektets arbetsgrupp lämnade inte något separat betänkande, utan utarbetade i enlighet med sitt uppdrag fram ett förslag till regeringsproposition, som före remissrundan färdigställdes vid inrikesministeriets polisavdelning. I utkastet till regeringsproposition ingick i enlighet med uppdraget också ett lagförslag i syfte att till behövliga delar genomföra Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, nedan PNR-direktivet

Projektets mandattid förlängdes den 10 januari 2018 genom justering av beslutet om tillsättande till den 31 december 2018. Den fortsatta beredningen av propositionen har i enlighet med justeringen av beslutet om tillsättande gjorts vid inrikesministeriet. Genom samma beslut av den 10 januari 2018 överfördes den fortsatta beredningen av det andra lagförslaget om genomförandet av PNR-direktivet till ett separat projekt. 

5.2  Remissyttranden och hur de har beaktats

De lagförslag som nu läggs fram har varit på remissrunda 21.12.2017—26.1.2018. För Ålands landskapsregerings del löpte tiden för att lämna yttrande ut den 9 mars 2018. Yttrande begärdes av sammanlagt 29 myndigheter, organisationer och sammanslutningar. Remissmaterialet sändes direkt till aktörerna i sändlistan för begäran om yttrande. Dessutom fanns remissmaterialet till påseende på statsrådets projektsidor. 

Av de som fick begäran lämnades yttrande av följande: Ålands landskapsregering, riksdagens justitieombudsmans kansli, Electronic Frontier Finland – Effi ry, justitiekanslern i statsrådet, inrikesministeriets migrationsavdelning och räddningsavdelning samt gränsbevakningsavdelning, kommunikationsministeriet, jord- och skogsbruksministeriet, justitieministeriet, Rättsregistercentralen, försvarsministeriet, social- och hälsovårdsministeriet, finansministeriet, huvudstaben, Polisstyrelsen, Brottspåföljdsmyndigheten, skyddspolisen, centralkriminalpolisen, Finnair Abp, Trafiksäkerhetsverket, Norwegian Air Shuttle (DY) and Norwegian Air International LTD, Scandinavian Airlines System, Finlands Advokatförbund r.f., Resebyråbranschens förbund i Finland rf, centralen för utredning av penningtvätt, dataombudsmannens byrå, TUI samt Tullen. Yttrande lämnades dessutom av Suomen Isännöintiliitto ry, Finlands Fastighetsförbund rf, Suomen Vuokranantajat ry, Vuokralaiset VKL ry samt RAKLI ry. Ett sammandrag av remissyttrandena finns tillgängligt på statsrådets projektsidor (SM064:00/2015). 

I utkastet till regeringsproposition ingick också ett lagförslag i syfte att till behövliga delar genomföra PNR-direktivet. Den fortsatta beredningen av genomförandelagen för PNR-direktivet avskildes under remissbehandlingen till ett eget projekt. Remissyttrandena om genomförandet av PNR-direktivet har behandlats som en del av det projektet (SM001:00/2018). 

Reformen av lagstiftningen om polisens behandling av personuppgifter och målsättningen för projektet ansågs på ett allmänt plan i yttrandena vara motiverat. I synnerhet i yttrandena från justitiekanslern i statsrådet, riksdagens biträdande justitieombudsman och dataombudsmannens byrå betonades dock behovet av intern och extern tillsyn när det gäller behandling av personuppgifter samt behovet av att precisera bedömningen av de risker som behandlingen innefattar. I många yttrandet fästes uppmärksamhet också vid att den lagstiftningshelhet som ska tillämpas inom polisväsendet till följd av EU:s dataskyddsreform och de valda nationella lagstiftningslösningarna blir komplicerad. I yttrandena betonades behovet av att säkerställa att lagstiftningshelheten är begriplig och konsekvent, så att förhållandet mellan lagförslag 1 och dels den allmänna dataskyddsförordningen och de nationella allmänna lagarna och dels bestämmelserna om polisens personregister i den övriga lagstiftningen blir tillräckligt tydlig för den som tillämpar lagarna. Vid den fortsatta beredningen har strävan varit att samordna propositionen med den allmänna lagstiftningen genom att bl.a. slopa överlappande bestämmelser. 

En regleringslösning som baserar sig på ändamålet med behandlingen understöddes i yttrandena i synnerhet av Polisstyrelsen samt inrikesministeriets gränsbevakningsavdelning och immigrationsavdelning. Bland andra riksdagens biträdande justitieombudsman och dataombudsmannens byrå betonade i sina yttranden att den föreslagna regleringslösningen kräver närmare anvisningar, där det dock inte ska föreskrivas om frågor som hör till området för lagstiftningen. I mång yttranden betonades också den allmänna nivån i förslaget samt vagheten och tvetydigheten i fråga om uppgiftsinnehållet. I yttrandena lyfts behovet av noggrannare bestämmelser än de föreslagna i synnerhet i fråga om uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. biometriska uppgifter, samt om behandlingen av uppgifter som fåtts med hjälp av teknisk övervakning. Enligt skyddspolisens åsikt försvårar det ändamålsbegränsade regleringssättet den praktiska tillämpningen. I yttrandena betonades också förhållandet mellan den föreslagna lagstiftningen och behörighetsbestämmelserna samt behovet av att säkerställa att uppgiftsutbytet mellan myndigheterna fungerar. Efter remissrundan har bestämmelserna om behandling av uppgifter som hör till särskilda kategorier av personuppgifter samt propositionens förhållande till behörighetsbestämmelserna preciserats både på paragrafnivå och i motiveringen till propositionen. 

Förhållandet mellan bestämmelsen om behandling av personuppgifter för upprätthållande av allmän ordning och säkerhet och behandling av personuppgifter för undersökningsändamål i lagförslaget ansågs i många yttranden vara otydligt. Förutom behovet av en preciserad gränsdragning lyftes i yttrandena fram behovet av att förtydliga polisens befogenhet att behandla personuppgifter i vissa situationer samt behovet av att bedöma huruvida polisens samtliga lagstadgade övervakningsuppgifter kan anses ingå i upprätthållande av allmän ordning och säkerhet. Vid den fortsatta beredningen har bestämmelserna om behandling av personuppgifter för upprätthållande av allmän ordning och säkerhet fogats samman med bestämmelserna om undersökningsuppgifter. I bestämmelserna om behandling av uppgifter för utförandet av polisens övriga lagstadgade uppgifter har beaktats de övervakningsuppgifter som det föreskrivs att polisen ska sköta och som inte omfattas av tillämpningsområdet för dataskyddsdirektivet. 

I synnerhet Polisstyrelsen och centralkriminalpolisen betonar behovet av att ändra den gällande lagstiftningen om behandlingen av personuppgifter som anknyter till kriminalunderrättelseinhämtning. Ändringsförslagen i fråga om kriminalunderrättelseinhämtning fick på en allmän nivå också understöd i andra yttranden. I yttrandena betonades dock också många brister och utvecklingsbehov i fråga om bestämmelserna om kriminalunderrättelseinhämtning i lagutkastet. Som problematiska ansågs bl.a. de föreslagna ändringarna i fråga om behandlingströsklarna (t.ex. övergång från tröskeln ”skäl att misstänka” till formuleringen ”kan antas”), brister i motiveringen till de föreslagna ändringarna, de allmänt hållna bestämmelserna och deras tvetydighet samt att begreppet kriminalunderrättelseinhämtning inte har definierats i lagstiftningen. Också den närmare innebörden av begreppen strategisk och tematisk analys har enligt vissa yttranden förblivit oklar i propositionen. Dessutom föreslogs preciseringar i bestämmelserna om observationsuppgifter. Bestämmelserna om behandling av personuppgifter som anknyter till kriminalunderrättelseinhämtning har omformulerats så att de omfattar behandling av personuppgifter för förebyggande och avslöjande av alla brott. Bestämmelserna har också preciserats både i fråga om personkategorier och det datainnehåll som behandlas. 

Polisstyrelsen och centralkriminalpolisen ansåg att bestämmelsen om bedömning av uppgifternas betydelse i lagförslaget är viktig. Justitiekanslern i statsrådet konstaterade i sitt yttrande att förslaget på ett betydande sätt utvidgar polisens rätt att behandla personuppgifter som inte anknyter till ett enskilt uppdrag. I synnerhet i yttrandena från justitieministeriet och dataombudsmannens byrå betonades behovet av att vid den fortsatta beredningen bedöma bestämmelsens förhållande till kraven enligt dataskyddslagstiftningen, rättspraxis och grundlagsutskottets tolkningspraxis. Dataombudsmannen lyfte fram att fundamenten för den föreslagna bestämmelsen är ohållbar, eftersom polisen inte har befogenhet att behandla och registrera personuppgifter på det föreslagna sättet. Enligt justitieministeriet finns det skäl att utreda om det är möjligt att noggrannare avgränsa regleringen eller på ett sätt som annars inkräktar mindre på skyddet av personuppgifter. Vid den fortsatta beredningen har bestämmelserna om bedömning av betydelsen för säkerhets skull flyttats till ett moment i samband med ändamålet med behandlingen. Dessutom har propositionens förhållande till polisens befogenheter till informationsinhämtning förtydligats. 

I yttrandena lyftes också fram behovet av att precisera tillämpningsområdet för det föreslagna 7 kap. samt vilka bestämmelser i lagförslaget som gäller behandling av personuppgifter vid skyddspolisen. I skyddspolisens och Polisstyrelsens yttranden behandlades dessutom skyddspolisens ändrade ställning som en riksomfattande enhet under inrikesministeriet. Lagens tillämpningsområdet har preciserats efter remissrundan och informationsutbytet mellan skyddspolisens och övriga polisenheter har beaktats i bestämmelserna om rätt att lämna ut och få uppgifter. 

Suomen Vuokranantajat ry, Vuokralaiset VKL ry, RAKLI ry, Finlands Fastighetsförbund rf och Suomen Isännöintiliitto ry föreslog i sina yttranden möjligheten att lämna ut uppgifter också till bostads- och fastighetsaktiebolag samt hyresvärdar i situationer när det behövs för att trygga hemfriden för de boende eller sköta egendom. Efter remissrundan har lagförslag 1 dock omarbetats så att på utlämnande av personuppgifter i enskilda fall tillämpas fortfarande bestämmelserna i 4 kap. i polislagen. Hyresvärdarnas och bostads- och fastighetsaktiebolagens behov är alltså inte möjligt att tillgodose inom ramarna för projektet för polisens personuppgiftslag. 

Enligt yttrandet från Ålands landskapsregering bör lagförslag 1 godtas och tillämpas på Åland på motsvarande sätt genom blankettlagstiftning. 

Kommunikationsministeriet ansåg att även regleringens konsekvenser för skyddet för hemligheten i fråga om förtroliga meddelanden bör bedömas i propositionen. Detta ansågs dock inte vara ändamålsenligt, eftersom bedömningen har gjorts i samband med regleringen av befogenheter som ingriper i skyddet för förtroliga meddelanden. 

I många yttranden kommenterades dessutom bl.a. behandling av uppgifter för andra ändamål än de ursprungliga, regleringen av informationsutbytet mellan myndigheter, förslagen till bestämmelser om radering av personuppgifter samt förslagen till bestämmelser om inskränkningar av rätten till insyn. De synpunkter och ändringsförslag som framförts i remissyttrandena har i mån av möjlighet beaktats vid den fortsatta beredningen av propositionen och i de ändringar som gjorts i propositionen, i synnerhet till den del det gäller förhållandet mellan lagförslaget och EU:s dataskyddslagstiftning samt utvidgningarna i fråga om behandling av uppgifter för förebyggande och avslöjande av brott. 

Samband med andra propositioner

Propositionen och framför allt lagförslag 1 har samband med flera sådana propositioner med anknytning till dataskyddslagstiftningen som riksdagen behandlar eller kommer att behandla. Lagförslagen i propositionen innehåller hänvisningar till dataskyddslagen avseende brottmål (RP 31/2018 rd). Propositionen har också samband med den nationella lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd). 

Propositionen har samband med regeringens proposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den (RP 55/2018 rd). I den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ingår hänvisningar till polisens gällande personuppgiftslag. Vid riksdagsbehandlingen bör förslaget samordnas med denna proposition. 

Riksdagen behandlar även en regeringsproposition med förslag till lagstiftning om civil underrättelseinhämtning (RP 202/2017 rd). Propositionens inverkan på polisens personuppgiftslag och remissyttrandena om behandlingen av personuppgifter har beaktats vid beredningen av denna proposition. Vissa ändringar som föreslås i propositionen om civil underrättelseinhämtning bör dock samordnas med denna proposition under riksdagsbehandlingen. I propositionen föreslås ändring av 5 och 13 § i polisens gällande personuppgiftslag. De föreslagna ändringarna har beaktats i 7 kap. i lagförslag 1 i denna proposition. I propositionen föreslås dessutom att av skyddspolisens uppgifter ska utredning av brott slopas. I det fallet att ändringen genomförs ska utredning av brott slopas också i fråga om ändamålen med behandlingen i 48 § i lagförslag 1 i denna proposition. 

Propositionen har dessutom samband med ett lagstiftningsprojekt vid inrikesministeriet (SM057:00/2016) som går ut på att bereda en regeringsproposition angående en ändring av lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. Avsikten är att regeringens proposition om den nämnda lagstiftningen ska lämnas till riksdagen så samtidigt med denna proposition som det är möjligt. 

Propositionen har också samband med finansministeriets projekt (VM059:00/2016) med beredning av regeringens proposition till en lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den. Avsikten är att regeringens proposition om den nämnda lagstiftningen ska lämnas till riksdagen så samtidigt med denna proposition som det är möjligt. I propositionen föreslås dessutom att lagen om centralen för utredning av penningtvätt ändras, som också ska ändras i den regeringsproposition med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den (RP 167/2018 rd) som för närvarande behandlas av riksdagen. Propositionen har också samband med finansministeriets lagstiftningsprojekt för beredning av en ny lag om informationshantering inom den offentliga förvaltningen (VM183:00/2017). 

Propositionen har samband också med totalreformen av lagstiftningen om behandling av personuppgifter inom försvarsförvaltningen. Regeringspropositionen om denna lagstiftning lämnades till riksdagen våren 2018 (RP 13/2018 rd). 

Propositionen har också samband med propositionen med förslag till en ny lag om behandling av personuppgifter i migrationsförvaltningen (RP 224/2018 rd) som har beretts vid inrikesministeriet. Med lagförslaget ersätts den gällande lagen om utlänningsregistret (1270/1997), som ska ändras också genom denna proposition. Dessutom innehåller den föreslagna lagen om behandling av personuppgifter i migrationsförvaltningen hänvisningar till lagförslag 1 i denna proposition. Också lagförslagen i regeringens proposition med förslag till lagar om ändring av skjutvapenlagen, lagen om frivilligt försvar samt 97 a § i värnpliktslagen (RP 179/2018 rd) samt i regeringens proposition med förslag till lag om penninginsamlingar och till vissa lagar som har samband med den (RP 214/2018 rd) som behandlas av riksdagen innehåller hänvisningar till polisens personuppgiftslag. 

I lagförslag 1 i propositionen förslås att det införs rätt för polisen att få uppgifter ur bostadsdatasystemet, i fråga om vilket regeringens proposition (RP 127/2018 rd) som bäst behandlas i riksdagen. 

Riksdagen behandlar också regeringens proposition med förslag till lag om ändring av lagen om transportservice och till vissa lagar som har samband med den (RP 157/2018 rd), där det föreslås att 19 § i polisens personuppgiftslag ska ändras. 

I fråga om lagförslagen i alla nämnda propositioner ska det säkerställas att hänvisningarna till författningar och paragrafer samordnas under riksdagsbehandlingen. Därtill innehåller propositionerna lagförslag som gäller ändringar av samma lagar. 

DETALJMOTIVERING

Lagförslag

1.1  Lagen om behandling av personuppgifter i polisens verksamhet

1 kap. Allmänna bestämmelser

1 §.Tillämpningsområde. I paragrafen anges lagens tillämpningsområde. Lagen tillämpas enligt 1 mom. på helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen samt på annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 

Lagens tillämpningsområde begränsas utifrån ändamålet med behandlingen av personuppgifter. Bestämmelsen motsvarar till denna del bestämmelsen om tillämpningsområdet för den gällande lagen om behandling av personuppgifter i polisens verksamhet. Lagen om behandling av personuppgifter i polisens verksamhet tillämpas på samma sätt som i dagsläget endast när polisen behandlar personuppgifter för utförandet av de uppgifter som föreskrivs i polislagen. Lagen tillämpas alltså inte på t.ex. behandling av personuppgifter i anknytning till personal- och ekonomiförvaltning. 

I det fall att det någon annanstans i lag finns bestämmelser om den behandling av personuppgifter som behövs för utförandet av de polisuppgifter som avses i polislagen som avviker från bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet, ska de bestämmelserna tillämpas i stället för denna lag. Bestämmelser om behandling av personuppgifter i anknytning till polisens uppgifter ingår bl.a. i lagen om penningtvätt, lagen om centralen för utredning av penningtvätt, lagen om vittnesskyddsprogram samt i den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet. Separata bestämmelser finns också om behandlingen av personuppgifter i utlänningsregistret (lagen om utlänningsregistret och den lag om behandling av personuppgifter i migrationsförvaltningen som föreslås ersätta lagen om utlänningsregistret) samt i nödcentralssystemet (lagen om nödcentralsverksamhet). Lagen om behandling av personuppgifter i polisens verksamhet tillämpas dock kompletterande på behandlingen av personuppgifter för utförandet av polisens uppgifter till den del som speciallagstiftningen inte innehåller bestämmelser som avviker från bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet. 

I 2 mom. beaktas skyddspolisens nuvarande ställning som en polisenhet underställd inrikesministeriet. Fram till ingången av 2016 var skyddspolisen i enlighet med 1 § i polisförvaltningslagen en enhet under Polisstyrelsen som är polisens högsta ledning. Genom ändringen 860/2015 av polisförvaltningslagen blev skyddspolisen en riksomfattande enhet under inrikesministeriet. Eftersom skyddspolisen inte längre lyder under Polisstyrelsen, som föreslås vara personuppgiftsansvarig för de uppgifter som avses i 2 kap., grundar sig utbytet av information mellan skyddspolisen och övriga polisenheter i fortsättningen på bestämmelser om rätt att lämna ut och få uppgifter. I enlighet med ändringen samlas bestämmelserna om skyddspolisens behandling av personuppgifter i ett separat 7 kap. Övriga kapitel i lagförslag 1 ska inte tillämpas på skyddspolisens behandling av personuppgifter. 

2 §.Förhållande till annan lagstiftning. I 1 och 2 mom. preciseras hur allmänt tillämpliga bestämmelser om behandling av personuppgifter tillämpas på sådan behandling av personuppgifter som avses i lagförslaget och på vilket sätt den behandling av personuppgifter som avses i lagförslaget fördelas i förhållande till tillämpningsområdet för dessa allmänna bestämmelser. 

På polisens behandling av personuppgifter tillämpas i dagsläget personuppgiftslagen som allmän lag. Genomförandet av EU:s dataskyddspaket spjälkar dock upp författningsgrunden så att samma rättsakt inte längre kan tillämpas på all behandling av personuppgifter. På en del av polisens behandling av personuppgifter ska som allmän författning tillämpas dataskyddsförordningen och den nationella dataskyddslag som kompletterar förordningen (RP 9/2018 rd). På den största delen av behandlingen av personuppgifter som omfattas av tillämpningsområdet för lagförslaget tillämpas dock som allmän författning dataskyddslagen avseende brottmål, genom vilken dataskyddsdirektivet genomförs. Den föreslagna lagen om behandling av personuppgifter i polisens verksamhet är en speciallag som kompletterar de nämnda allmänna författningarna. 

Dataskyddslagen avseende brottmål ska tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter som anges i lagen i fråga när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet som har samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten. Avsikten är att den allmänna lagen ska kompletteras med speciallagstiftning för de olika förvaltningsområdena. 

Det föreslås att bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet, vilka omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning, begränsas i enlighet med skäl 12 till direktivet. Enligt skälet är polisens och andra brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. 

Av bestämmelserna i 2 kap. i lagförslaget hör till tillämpningsområdet för dataskyddslagen avseende brottmål de ändamål med behandlingen av personuppgifter som föreskrivs i 5—8 och 10 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål med behandlingen som föreskrivs i 5—8 §. 

Utanför tillämpningsområdet för dataskyddsförordningen och dataskyddsdirektivet har ställts behandling av personuppgifter i samband med sådan verksamhet som inte hör till tillämpningsområdet för unionsrätten. Utanför unionsrätten står bl.a. behandling av personuppgifter i samband med uppgifter i anknytning till säkerställandet av den nationella säkerheten. Dataskyddslagen avseende brottmål tillämpas med stöd av propositionen RP 31/2018 rd dock vid behöriga myndigheters behandling av personuppgifter i samband med säkerställandet av den nationella säkerheten. Behöriga myndigheter är enligt propositionen Försvarsmakten, Gränsbevakningsväsendet och polisen, i synnerhet skyddspolisen. Till denna del grundar sig inte dataskyddslagen avseende brottmål på genomförandet av direktivet, utan det är fråga om en nationell lösning. Dataskyddsdirektivet gör det möjligt att regleringen i enlighet med direktivet nationellt omfattar också behandling av personuppgifter inom området för nationell säkerhet och nationellt försvar. Dataskyddslagen avseende brottmål ska förutom på skyddspolisen tillämpas även på sådan behandling av personuppgifter som utförs av andra polisenheter, när uppgifter behandlas i en i 1 § 1 mom. i polislagen avsedd uppgift som har samband med skyddet av den nationella säkerheten. 

I 1 mom. 2 punkten ingår en hänvisningsbestämmelse till offentlighetslagen. Enligt skäl 16 till dataskyddsdirektivet påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. När uppgifter lämnas ut ur en myndighets personregister ska offentlighetsprincipen och sekretessbestämmelserna beaktas på det sätt som föreskrivs i offentlighetslagen och i synnerhet i dess 16 § 3 mom. 

Bestämmelser om tystnadsplikt och tystnadsrätt för tjänstemän som hör till polisens personal finns förutom i offentlighetslagen också i 7 kap. i polislagen. Bestämmelserna i 7 kap. i polislagen ska också i fortsättningen tillämpas på utlämnande av enskilda personuppgifter ur polisens personregister. I den föreslagna lagen om behandling av personuppgifter i polisens verksamhet ingår bestämmelser om utlämnande av personuppgifter genom teknisk anslutning eller som en datamängd samt de behövliga bestämmelser om utlämnade av personuppgifter till utlandet som kompletterar den allmänna lagstiftningen. 

Enligt skäl 12 till direktivet får medlemsstaterna åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten. Behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas således av tillämpningsområdet för dataskyddsförordningen. 

Paragrafens 2 mom. innehåller en hänvisning till dataskyddsförordningen, som är direkt tillämplig lagstiftning för polisen. När det gäller de uppgifter som föreskrivs för polisen i 1 kap. 1 § i polislagen, behandlas personuppgifter för att den personuppgiftsansvarige ska kunna uppfylla en i lag föreskriven skyldighet, vilket gör det möjligt att precisera och komplettera dataskyddsförordningen genom nationell lagstiftning. Det nationella handlingsutrymme som dataskyddsförordningen gör möjligt kan utöver för dataskyddslagen också användas för speciallagstiftning. Regleringen av sådan behandling av personuppgifter i anknytning till polisens uppgifter som omfattas av dataskyddsförordningen består i fortsättningen av dataskyddsförordningen, den allmänna dataskyddslag som kompletterar förordningen, den föreslagna lagen om behandling av personuppgifter i polisens verksamhet samt av annan speciallagstiftning som gäller polisens uppgifter och som innehåller bestämmelser om rättsliga grunder för behandling av personuppgifter. 

Av de föreslagna bestämmelserna i 2 kap. i första lagförslaget hör till dataskyddsförordningens tillämpningsområde de ändamål med behandlingen som föreskrivs i 11 § samt den behandling av uppgifter om informationskällor som avses i 9 § när behandlingen är inriktad på de ändamål som föreskrivs i 11 §. Utöver preciseringarna i fråga om behandlingsändamål, kategorier av personer och typ av uppgifter som behandlas i 11 och 12 § ingår i lagförslaget också andra särskilda bestämmelser som avses i artikel 6, genom vilka tillämpningen av bestämmelserna i dataskyddsförordningen kan anpassas. Dessa bestämmelser gäller behandling av personuppgifter för andra ändamål än det ursprungliga, utlämnande av uppgifter, lagringstid, tillgodoseende av den registrerades rättigheter och inskränkningar i den registrerades rättigheter. 

Den allmänna författning som ska tillämpas vid behandling av personuppgifter för ett annat ändamål än det ursprungliga (13—15 § i lagförslaget) bestäms utifrån för vilket ändamål som avviker från det ursprungliga ändamålet med behandlingen av personuppgifter man har för avsikt att behandla personuppgifterna. Behandling av personuppgifter för andra ändamål än det ursprungliga omfattas av tillämpningsområdet för dataskyddsdirektivets genomförandelagstiftning när det är fråga om behandling av uppgifterna för de ändamål som föreskrivs i 1 § i dataskyddslagen avseende brottmål. 

I 3 mom. finns en informativ hänvisning enligt vilken bestämmelser om polisens informationsinhämtning och befogenheter i anknytning till den utfärdas särskilt. Bestämmelser om polisens befogenheter att inhämta information som behövs för att förebygga och avslöja brott samt avvärja fara finns i polislagen, och bestämmelser om befogenheterna att inhämta information som behövs för brottsutredning finns i tvångsmedelslagen och förundersökningslagen. Lagstiftning om polisens befogenheter ingår också i annan speciallagstiftning som gäller polisens uppgifter. I samband med sina uppgifter får polisen dessutom personuppgifter på sätt som inte kräver särskilda befogenheter, t.ex. när de gör observationer i samband med arbete på fältet och vid sådan övervakning i det allmänna datanätet som inte har en viss person som föremål. 

I 3 kap. i lagförslaget ingår också bestämmelser om polisens rätt att få uppgifter. Dessa bestämmelser i 3 kap. stämmer överens med den rätt att få information som föreskrivs i 4 kap. i polislagen till den del det gäller att få information genom en teknisk anslutning eller som en datamängd. 

3 §.Definitioner. Paragrafen motsvarar i huvudsak bestämmelserna i den gällande lagen och där ingår de nationella definitionerna i anknytning till samarbetet inom Schengen och Europol samt definitionen av Eurodacförordningen. På behandling av personuppgifter i enlighet med lagförslaget tillämpas till övriga delar definitionerna i dataskyddslagen avseende brottmål och dataskyddsförordningen. 

2 kap. Behandling av personuppgifter

I lagens 2 kap. preciseras de ändamål för vilka polisen för att utföra sin uppgifter får behandla personuppgifter samt det tillåtna datainnehållet för respektive användningsändamål. Bestämmelserna om det uppgiftsinnehåll som får behandlas innehåller inte motsvarande detaljerade förteckningar som bestämmelserna om polisens riksomfattande informationssystem i den gällande lagen om behandling av personuppgifter i polisens verksamhet, utan i bestämmelserna föreskrivs om de uppgiftskategorier som får behandlas. Det mer detaljerade innehållet i uppgiftskategorierna bestäms utifrån ändamålet med personuppgiftsbehandlingen. Därmed blir regleringstekniken smidigare än i dagsläget. Bestämmelserna om ändamålet med behandlingen av personuppgifter och det tillåtna datainnehållet ska alltid tillämpas som en helhet och bestämmelserna ska med tanke på ändamålet inte göra onödig behandling av personuppgifter möjlig. 

Bestämmelserna i 11 § om behandling av överskottsinformation som erhållits med hemliga informationsinhämtningsmetoder och i 12 § om behandling av uppgifter som inte hänför sig till ett visst uppdrag i den gällande lagen om behandling av personuppgifter i polisens verksamhet slopas som onödiga i och med ändringen av regleringstekniken. De uppgifter som avses i de nämnda paragraferna kan behandlas när villkoren för behandlingen av personuppgifter uppfylls enligt vad som föreskrivs i det föreslagna 2 kap., polislagen eller tvångsmedelslagen. Bestämmelserna om polisens övriga personregister i 6 § i den gällande lagen slopas på motsvarande sätt som obehövliga. Bestämmelserna i 10 § i den gällande lagen om behandling av känsliga uppgifter ersätts med de för ändamålen med behandlingen specifika bestämmelser om datainnehållet i vilka ingår villkoren för behandling av personuppgifter som hör till särskilda kategorier av personuppgifter. 

Det föreslagna 2 kap. innehåller också bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (13—15 §). Med dessa bestämmelser ersätts bestämmelserna om användning av uppgifter för andra ändamål än de som uppgifterna har samlats in och registrerats för i 4 kap. 16 och 16 a § i den gällande lagen. 

4 §.Behandling av grundläggande personuppgifter. Paragrafen innehåller en detaljerad förteckning över grundläggande personuppgifter som det är tillåtet att behandla i behövlig utsträckning för de ändamål som anges i 5, 7, 9 och 11 §. Förteckningen över grundläggande uppgifter ska tillämpas på alla ursprungliga ändamål behandling av personuppgifter enligt 2 kap., med undantag för sådan behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov som avses i 10 §, på vilken tillämpas den snävare förteckningen över personuppgifter i 10 §. 

De grundläggande personuppgifterna i förteckningen motsvarar till sitt innehåll i huvudsak de personuppgifter som enligt 2, 3 och 4 § i den gällande lagen får registreras i informationssystemet för polisärenden, informationssystemet för förvaltningsärenden och informationssystemet för misstänkta. Som nya punkter i förteckningen föreslås kontaktspråk samt uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud och uppgift om fullgörande av värnplikt. Dessa uppgifter har det i enlighet med den gällande lagen varit möjligt att behandla som övriga uppgifter som anknyter till ärendet, men för tydlighetens skull ska det i fortsättningen föreskrivas om dessa i bestämmelsen om behandling av grundläggande personuppgifter. De grundläggande personuppgifter som avses i paragrafen får behandlas i fråga om alla i 5, 7, 9 och 11 § avsedda personkategorier då uppgifterna är behövliga med tanke på ändamålet med behandlingen. 

I 5—9, 11 och 12 § som gäller de ursprungliga ändamålen med behandlingen av personuppgifter föreskrivs närmare kriterier för behandlingen av både grundläggande personuppgifter och övriga behövliga personuppgifter. 

5 §.Behandling av personuppgifter i undersöknings- och övervakningsuppgifter. I paragrafen avses behandling av personuppgifter i enlighet med dataskyddslagen avseende brottmål för att utreda brott eller föra brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med utredning av brott. 

I 1 mom. preciseras de syften för vilka polisen får behandla behövliga personuppgifter för utförande av undersöknings- och övervakningsuppgifter. Bestämmelsen innefattar all form av undersökning och utredning som polisen utför, inklusive utredning som föregår förundersökning samt annan undersökning som polisen enligt lag ska företa än förundersökning med anledning av brott (polisundersökning). Också sådan teknisk undersökning som ingår i förundersökning eller polisundersökning omfattas av tillämpningsområdet för bestämmelsen. Bestämmelsen ersätter bestämmelserna i den gällande lagen, enligt vilka uppgifter om den som är misstänkt för brott eller den som är föremål för förundersökning, polisundersökning, polisens åtgärder eller tvångsmedel och den som gjort anmälan, den som uppträder som vittne eller målsägande eller den som har något annat samband med ett ärende får registreras i informationssystemet för polisärenden. 

Paragrafen ska dessutom tillämpas på behandling av personuppgifter i anknytning till upprätthållande av allmän ordning och säkerhet. Enligt skäl 12 till dataskyddsdirektivet är polisens och andra brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter om det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Till tillämpningsområdet för paragrafen hör i synnerhet personuppgifter som behandlas i samband med fältverksamhet och som larmuppgifter samt behandling av personuppgifter i anknytning till handräckningsuppgifter och övervakningsuppgifter som föreskrivits för polisen, i det fall att uppgiften på det sätt som det avses i dataskyddsdirektivet och i 1 § 1 mom. i direktivets genomförandelag anknyter till förebyggande, avslöjande och utredning av brott. 

Paragrafen ersätter också i 6 § i den gällande lagen avsedda temporära register upprättade för brottsanalys som behövs för att utreda ett brott eller en brottshelhet. Bestämmelsen kompletteras av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 och 14 §, enligt vilka uppgifter som samlats in för behandling för ändamål i enlighet med 2 kap. får utnyttjas för ändamål som avses i 5 kap. Bestämmelserna om temporära analysregister som upprättas för att förhindra eller avslöja ett brott eller en brottshelhet i 6 § i den gällande lagen ingår i fortsättningen i de föreslagna 7 och 8 §. 

I 2 mom. preciseras de personkategorier vars uppgifter får användas för de ändamål som avses i 1 mom. Med avvikelse från 2 § i den gällande lagen beaktas personer under 15 år som misstänks för en brottslig gärning särskilt. Dessutom nämns personer som direkt anknyter till polisens fältuppgifter och i lag särskilt föreskrivna övervakningsuppgifter separat som en egen kategori i förteckningen. Som personer som direkt anknyter till en uppgift betraktas t.ex. personer vars personuppgifter polisen måste behandla på grund av barnskyddsanmälningar som görs i samband med fältuppdrag. Med stöd av denna punkt kan vid behov också personuppgifterna för sådana kontaktpersoner registreras som behövs för åtkomst till ett utrymme eller en lokal i anknytning till ett fält- eller tillsynsuppdrag. En person som annars anknyter till ärendet kan i synnerhet vara någon som lämnar tilläggsupplysningar, men som ändå inte har ställning som vittne. Personer som annars anknyter till ärendet omfattar även t.ex. personer som agerar som sakkunniga och personer i anknytning till annan undersökning än förundersökning. 

Det föreslagna 3 mom. är en ny bestämmelse. Förslaget om bedömning av huruvida uppgifterna är av betydelse är knuten till en regleringsteknik baserad på ändamålet med behandlingen av uppgifterna som ersätter den registerbaserade regleringen i den gällande lagen om behandling av personuppgifter i polisens verksamhet. I lagen om behandling av personuppgifter i polisens verksamhet föreskrivs i fortsättningen om all behandling av personuppgifter för utförande av polisens uppgifter i stället för att det endast föreskrivs om registrering av uppgifterna i informationssystem som nämns i lagen och om användning av uppgifterna i de namngivna registren. 

I momentet är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av polisens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Ett av syftena med bestämmelsen är att göra nuläget tydligare med tanke på situationer där personuppgifter som har fåtts i samband med utförandet av polisens uppgifter ska behandlas med hjälp av automatisk databehandling för bedömning av deras innehåll och betydelse. 

Enligt skäl 18 till dataskyddsdirektivet bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet av fysiska personer ska också gälla automatisk databehandling av personuppgifter samt sådan manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register. 

Automatisk behandling av personuppgifter är utöver den registrering, användning och utlämnande av personuppgifter som föreskrivs i den gällande lagen om behandling av personuppgifter i polisens verksamhet också behandlingsåtgärder som utförs före personuppgifterna registreras i polisens riksomfattande informationssystem. Den gällande lagen om behandling av personuppgifter i polisens verksamhet innehåller inte bestämmelser som gäller detta skede av personuppgiftsbehandlingen, varför t.ex. den maximala bevaringstiden för personuppgifterna avgörs från fall till fall av den personuppgiftsansvarige. Bestämmelsen om bedömning av huruvida uppgifterna är av betydelse för med sig att behovsbedömningen blir en del av tillämpningsområdet för lagen om behandling av personuppgifter i polisens verksamhet. Samtidigt föreslås en enhetlig bevaringstid på sex månader för personuppgifter som behandlas för bedömning av deras betydelse. 

Exempelvis i fråga om sådana uppgifter från teknisk övervakning som avses i 4 kap. 2 § i polislagen förtydligar bestämmelsen betydligt nuläget, då det för närvarande inte finns bestämmelser om en enhetlig tidsfrist för radering av uppgifterna. Den maximala bevaringstiden på sex månader för information från teknisk övervakning bestäms utifrån den ursprungliga registreringstidpunkten för uppgifterna så att uppgifterna ska raderas senast sex månader efter den ursprungliga tidpunkten när de samlades in. 

Förutom att nuläget förtydligas, innebär 3 mom. också en utvidgning av polisens gällande personuppgiftsbehandling. Med avvikelse från den gällande lagen gör bestämmelsen det uttryckligen möjligt att registrera personuppgifter i ett särskilt personregister för att utreda huruvida de i 5 och 6 § föreskrivna förutsättningarna uppfylls för behandling av personuppgifterna. Personuppgifter får inte behandlas för undersöknings- och övervakningsändamål, om det är oklart huruvida kriterierna för behandling av personuppgifter i 5 och 6 § uppfylls. Personuppgifter som fåtts i samband med polisuppdrag får dock behandlas för bedömning av deras betydelse under högst sex månader, om uppgifterna kan ha betydelse med tanke på de i 5 § föreskrivna ändamålen. Personuppgifter som med tanke på polisens uppgifter är uppenbart obetydliga ska raderas omedelbart och får inte registreras annat än med stöd av 3 mom. 

Polisens verksamhetsmiljö har ändrats avsevärt efter det att den gällande lagen om behandling av personuppgifter i polisens verksamhet stiftades. De sätt som polisen traditionellt har använt sig av för att bedöma uppgifternas betydelse erbjuder i dagens digitala verksamhetsmiljö inte tillräckliga möjligheter för behandling av sådana uppgifter som behövs vid brottsanalys. En systematisk utveckling av analysverksamheten kräver möjligheter att bedöma uppgifternas betydelse med moderna tekniska metoder. De uppgifter som behandlas med stöd av momentet kan också vara bildmaterial eller text från offentliga källor, t.ex. från internet och myndigheternas offentliga register, där det kan ingå också stora mängder information om personer vilkas betydelse är oklar i registreringsögonblicket. 

Uppgifter får med stöd av 3 mom. också jämföras med personuppgifter som redan har registrerats i polisens informationssystem för att klargöra om kriterierna för behandlingen av personuppgifter enligt 5 och 6 § uppfylls. Ett krav för behandlingen är dock att uppgifterna har skaffats eller annars fåtts i samband med polisens uppgifter med stöd av sådana befogenheter som föreskrivs någon annanstans i lagen. Polisen kan alltså inte med stöd av 3 mom. skaffa sådana uppgifter som den inte har tillgång till med stöd av andra i lagen föreskrivna befogenheter att inhämta information. 

Enligt kraven i dataskyddslagstiftningen får inte personuppgifter behandlas i onödan. I 3 mom. föreskrivs det på vilket sätt behovet av personuppgifter som fåtts i samband med uppdrag kan bedömas och man kan försäkra sig om att uppgifterna är av betydelse innan de behandlas för en längre tid. Den sista meningen i momentet betonar kravet enligt 6 § i dataskyddslagen avseende brottmål om att onödiga uppgifter ska raderas utan obefogat dröjsmål. Kravet kompletteras en tidsfrist på sex månader, under vilken betydelsen av personuppgifterna senast ska bedömas. Propositionens inverkan på skyddet av personlig integritet bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen. 

Åtkomsten till de personuppgifter som avses i momentet begränsas i enlighet med kraven i den allmänna lagstiftningen via polisens förvaltning av användarrättigheter till endast dem vars arbetsuppgifter innefattar sådan bedömning av uppgifternas betydelse som avses i bestämmelserna. Behandlingen av uppgifter ska liksom andra behandlingsändamål omfattas av de skyldigheter som gäller styrningen av behandlingen av personuppgifter, tillsynen och skyddet av uppgifter. Behandlingen omfattas av alla de skyldigheter som ålagts den personuppgiftsansvarige i lagen, t.ex. skyldigheten att sörja för dataskyddet för uppgifter som hör till särskilda kategorier av personuppgifter till de delar som det behandlade materialet innehåller sådana uppgifter. Den personuppgiftsansvarige ska också bevara logguppgifterna om behandlingen i enlighet med kraven i 19 § i dataskyddslagen avseende brottmål. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. 

Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 

6 §.Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter. I paragrafen preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 5 §. Till innehållet motsvarar uppgifterna i huvudsak de uppgifter som enligt 2 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet får registreras informationssystemet för polisärenden. 

Enligt 1 punkten får behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser behandlas. Med en händelse avses en helhet av ärenden som ingår i polisens uppgiftsområde enligt 1 § 1 mom. i polislagen och på vilken kan följa myndighetsförpliktelser, såsom utredningsskyldighet (t.ex. göra en hotbedömning i anknytning till ett hot) eller skyldighet att vidta en åtgärd (t.ex. skyldighet att utföra förundersökning). En händelse kan också uppkomma till följd av polisens verksamhet på eget initiativ (t.ex. övervakningstillfällen och övervakningsplaner i anknytning till dem). Med en uppgift avses en prestation (t.ex. alarmuppdrag, övervakningsuppdrag, förundersökning eller polisundersökning) i anslutning till en händelse som anknyter till polisens uppgiftsområde enligt 1 § 1 mom. i polislagen. Till samma händelse kan hänföra sig flera uppgifter. En åtgärd är en del av en uppgift som har ett visst föremål, t.ex. en fysisk person, juridisk person, sak, ett ämne eller egendom. Till en enskild uppgift kan anknyta flera åtgärder och utövning av offentlig makt på olika nivåer, t.ex. ett uppdrag som gäller tvångsmedel riktat mot en person (gripande, anhållande, reseförbud, häktning) eller efterlysning av en person, ett fordon eller egendom. 

I de behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppdrag, åtgärder och händelser som avses i 1 punkten ingår i synnerhet 1) uppgifter om en anmälan om brott eller en anmälan om någon annan händelse, 2) uppgifter om besöksförbud eller vittnesskydd, 3) uppgifter om fältuppdrag och övervakningsuppdrag som särskilt föreskrivs i lag, 4) uppgifter om tvångsmedel, polisens åtgärder samt skeden i förundersökningar och polisundersökningar, 5) uppgifter som beskriver klassificeringen av gärningsmän, händelser eller gärningar samt uppgifter som behövs för sammanlänkning och teknisk undersökning av brott, 6) tillvägagångssätt och metoder som använts eller kan användas för att förbereda och begå brott, 7) uppgifter om myndigheter som behandlar ett ärende och de identifieringsuppgifter som de använder för ärenden, och 8) uppgifter om ett brott som fåtts av en person eller genom en person och vid behov även personernas förhållande till andra personer. Polisen får med stöd av 1 punkten på motsvarande sätt som enligt 2 § 3 mom. 2 punkten i den gällande lagen också behandla uppgifter om den rätta identiteten för en person som missbrukat identitet och för den vars identitet missbrukats. I de uppgifter som avses i 1 punkten ingår dessutom uppgifter om sådana skyddsåtgärder som meddelats med stöd av 4 § i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015), på vilka i enlighet med 47 a § i den gällande lagen bestämmelserna om besöksförbud i lagen om behandling av personuppgifter i polisens verksamhet tillämpas. 

Till i 2 punkten avsedda signalementsuppgifter som behövs för fastställande av identiteten hör uppgifter som för närvarande registreras i informationssystemet för polisärenden enligt följande: 1) uppgifter om efterlysningar av personer, som är fotografi, fingeravtryck samt oföränderliga fysiska kännetecken, för att en person ska kunna påträffas, övervakas, observeras och skyddas bl.a. i fråga om personer som är efterlysta, som har meddelats nationellt inreseförbud, som försatts i övervakad frihet på prov eller som ett besöksförbud avses skydda för att en person ska kunna påträffas, övervakas, observeras och skyddas, 2) identifieringsuppgifter, som är fotografi, fingeravtryck, tandkartor och DNA-profil, för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras, samt 3) signalementsuppgifter, som är fotografi, finger-, hand- och fotavtryck samt handstils-, röst- och luktprov samt DNA-profil, för identifiering av personer som misstänks för brott, för utredning av brott och registrering av gärningsmän. Polisen får också behandla en persons skoavtryck på motsvarande sätt som i dagsläget. Bestämmelser om polisens befogenhet att samla in sådana uppgifter som avses i punkten finns annanstans i lagstiftningen. Bestämmelserna berättigar inte till behandling av personuppgifter i större omfattning än befogenhetsregleringen medger. 

Behandlingen av sådana biometriska och genetiska uppgifter som gäller särskilda kategorier av personuppgifter och som avses i 11 § i dataskyddslagen avseende brottmål begränsas på det sätt som krävs enligt dataskyddsdirektivet och dataskyddslagen avseende brottmål endast till behandling av nödvändiga uppgifter. Med biometriska uppgifter avses i enlighet med artikel 3.13 i dataskyddsdirektivet och på motsvarande sätt i 3 § 13 punkten i datastyddslagen avseende brottmål personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga. Exempelvis ansiktsbilder hör därmed till biometriska uppgifter endast när de har tagits fram genom en teknisk behandling som rör en fysisk persons fysiska och fysiologiska egenskaper eller beteende. 

I dataskyddsdirektivet fästs särskild uppmärksamhet vid behovet av att begränsa behandlingen av sådana genetiska personuppgifter (skäl 23 till direktivet) som kan avslöja känslig information om bl.a. om en persons hälsotillstånd. Den DNA-profil som tas fram ur DNA-prov är dock för polisen en väsentlig signalementsuppgift vid utredning av brott och med den kan en person identifieras på ett tillförlitligt sätt i situationer när t.ex. fingeravtryck inte finns att tillgå. Utöver den behandling av DNA-profiler som avses i 9 kap. 4 § i tvångsmedelslagen behandlar polisen DNA-profiler också för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras. Behandling av uppgifter om nära släktingar som behövs för identifiering kräver enligt 2 punkten på samma sätt som i den gällande lagen samtycke av personen i fråga. 

Till de uppgifter som avses i 2 punkten hör också identifieringsuppgifter för utlänningar, i vilka ingår fingeravtryck, fotografier och andra signalement i enlighet med 131 § i utlänningslagen. På samma sätt som i dagsläget får identifieringsuppgifterna behandlas för de uppgifter som föreskrivs för polisen i 131 § i utlänningslagen, dvs. för verifiering av identitet, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet. Identifieringsuppgifterna får behandlas endast i fråga om de personkategorier som avses i 131 § i utlänningslagen. 

Bestämmelser om identifieringsuppgifter för utlänningar finns i den gällande lagen som en del av informationssystemet för förvaltningsärenden. De uppgifter som i 131 § i utlänningslagen föreskrivs för polisen är dock inte jämbördiga med de i 11 § i lagförslaget avsedda uppgifterna som gäller tillståndsförvaltning och övervakning, som inte gäller förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten. Identifieringsuppgifter behandlas som en del av den övervakningsuppgift som särskilt föreskrivs för polisen i utlänningslagen, dvs. övervakning av utlänningar. Polisen utövar övervakning av utlänningar antingen som en separat åtgärd eller som en del av polisens verksamhet, såsom trafikövervakning, brottsutredning, larmuppdrag eller i samband med uppgifter med anknytning till allmän ordning eller säkerhet (RP 169/2014 rd, s. 23). Ett syfte med övervakningen av utlänningar är att förebygga att utlänningar som befinner sig i en sårbar situation utnyttjas av brottslingar eller kriminella sammanslutningar. Övervakningen av utlänningar har på det sätt som avses i dataskyddsdirektivet och i 1 § 1 mom. i direktivets genomförandelag samband med förebyggande, avslöjande och utredning av brott. När övervakning av utlänningar utförs annat än för ändamål som hör till tillämpningsområdet för dataskyddsdirektivet ska på behandlingen av personuppgifter tillämpas lagen om utlänningsregistret samt den lag om behandling av personuppgifter i migrationsförvaltningen som ersätter den. 

I 3 punkten finns bestämmelser om behandling av s.k. säkerhetsinformation. Den föreslagna bestämmelsen motsvarar i sak 2 § 3 mom. 6 punkten i den gällande lagen. Säkerhetsuppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter som rör en persons hälsa, får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Polisen får dessutom, på samma sätt som enligt den gällande lagen, som en del av säkerhetsinformationen också behandla sådana uppgifter om hur farlig eller oberäknelig ett objekt eller en person är, som inte ingår i särskilda kategorier av personuppgifter, samt sådana uppgifter som beskriver eller är avsedda att beskriva en brottslig gärning, ett straff eller någon annan påföljd för brott. 

I 4 punkten beaktas separat identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. Punkten ersätter 2 § 3 mom. 1 punkten underpunkt a i den gällande lagen. 

I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1–4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter kan ingå i alla de kategorier av uppgifter som anges i 1 mom., men särskilt i de signalementsuppgifter som behövs för fastställande av identiteten i 1 mom. 2 punkten och i säkerhetsuppgifterna i 3 punkten. 

7 §.Behandling av personuppgifter för förebyggande eller avslöjande av brott. I paragrafen avses behandling i enlighet med dataskyddsdirektivet och dataskyddslagen avseende brottmål av personuppgifter för förebyggande eller avslöjande av brott eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med förbyggande eller avslöjande av brott. 

Enligt 1 mom. får polisen behandla personuppgifter som anknyter till utförandet av en uppgift i anknytning till förebyggande eller avslöjande av brott. Med paragrafen ersätts bestämmelsen om informationssystemet för misstänkta i den gällande lagen, som i sin nuvarande form inte på ett heltäckande sätt betjänar polisens brottsförebyggande verksamhet, framsyn och utnyttjande av systematiskt insamlad och behandlad information på alla nivåer inom det beslutsfattande som leder till handling. Paragrafen ersätter också sådana i 6 § i den gällande lagen avsedda tillfälliga register för brottsanalys som är specifika för en viss polisenhet, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. Bestämmelsen gör det möjligt att riksomfattande behandla uppgifter. 

Definitionen av förhindrande av brott infördes i 5 kap. 1 § 2 mom. i polislagen vid den helhetsreform som trädde i kraft vid ingången av 2014. Med förhindrande av brott avses åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Det är fråga om att förhindra ett brott när detta kan ske innan sådana åtgärder har vidtagits som uppfyller brottsrekvisiten (RP 224/2010 rd, s. 92—93). 

Det förebyggande av brott som avses i 1 kap. 1 § i polislagen är dock som begrepp mer vidsträckt än förhindrande av brott. Förebyggande av brott anknyter också till överbegreppet brottsbekämpning, som täcker avslöjande och utredning av brott och förande av brott till åtalsprövning, men också till sådana egenskaper som säkerhet och säkerhetskänsla. I förarbetena till polislagen konstateras på allmän nivå att åtgärder i anslutning till brott anses hänföra sig till tryggandet av rätts- och samhällsordningen som överbegrepp (RP 224/2010 rd, s. 73). Förebyggande av brott är en del av polisens förebyggande verksamhet som man strävar efter att på ett heltäckande sätt genomföra i all polisverksamhet. Därmed har begreppet ett nära samband också med upprätthållandet av allmän ordning och säkerhet. 

Enligt motiveringen till den polislag som trädde i kraft 1995 är brottsbekämpningen en på polisen ankommande helhetsbetonad verksamhet där det inte är möjligt att skilja mellan förebyggande åtgärder och åtgärder för utredning av brott (RP 57/1994 rd, s. 63). I kommentaren betonas komplexiteten för och den stora omfattningen av polisens verksamhetsfält. Syftet med brottsförebyggande verksamhet är i första hand preventivitet, där man påverkar potentiella gärningsmän redan innan brottet har skett. Den av polisen som myndighetssamarbete genomförda verksamhetsmodellen Ankkuri är ett exempel på sådant säkerhetsarbete i ett tidigt skede. 

I anknytning till ramen för brottsbekämpning delar rådet för brottsförebyggande in förebyggande av brott i två kategorier; socialt förebyggande och situationell prevention. Vid socialt förebyggande är strävan att påverka människornas självkontroll och förbindande till ett normalt samhälle, bl.a. genom åtgärder till ungdomar som riskerar att bli marginaliserade eller återfallsförbrytare. I den situationella preventionen ingår att öka ansträngningen som krävs för att genomföra ett brott, öka risken för den som har för avsikt att begå brott och minska belöningen för den som begår brott. (Rådet för brottsförebyggande, 2013). Inom båda dessa dimensioner har polisen sin egen roll tillsammans med andra myndigheter. 

Brottsförebyggande brottsanalyser kräver kunskap som grund. Identifiering av olika hot redan på grund av svaga signaler och eventuellt genom sammanställning av information från olika källor förbättrar polisverksamhetens effektivitet samt polisens möjligheter att bekämpa brott och brottslighet i ett så tidigt skede som möjligt. Före brottets förhindrande känner man inte alltid till det exakta brottsrekvisitet eller den exakta brottsrubriceringen. Det kan vara fråga om att polisen fått information om att en person är skuldsatt och planerar att begå ett egendomsbrott. Som ett annat exempel kan nämnas en situation där en person frigetts från fängelset efter att ha avtjänat ett långt straff för våldsbrott. Enligt de kriminalunderrättelser som polisen har fått är personens beteende fortfarande våldsamt, i synnerhet i samband med bruk av berusningsmedel. Det finns skäl att anta att personen i framtiden kommer att göra sig skyldig till ett våldsbrott, men någon närmare brottsrubricering känner man inte till. Behandling av sådan information gör det möjligt att göra en bedömning av nivån på det antagna hotet samt om eventuella åtgärder ska inledas. Åtgärderna kan inbegripa bl.a. strävan att bryta rusmedelsspiralen samt olika stödåtgärder i samarbete med andra myndigheter. 

Avslöjande av brott infördes i 1 kap. 1 § 1 mom. i polislagen i förteckningen över polisens uppgifter i samband med den helhetsreform av polislagen som trädde i kraft vid ingången av 2014. Begreppet avslöjande av brott hade använts redan före helhetsreformen av polislagen i de bestämmelser som gällde polisens befogenheter att inhämta information, där det definierades att användningsområdet för informationsinhämtningsmetoderna utsträckte sig till förutom förhindrande och utredning av brott också till avslöjande. Skillnaden mellan att förhindra och avslöja brott var dock inte tolkningsmässigt entydig i tidigare lagstiftning. Före reformen av polislagen 2014 användes i praktiken i polisverksamheten vid sidan av förhindrande och utredning begreppet avslöjande i situationer där man aktivt utnyttjade de i polislagen föreskrivna hemliga metoderna för inhämtande av information för att ”förhindra” ett brott, då man bedömde att tröskeln för förundersökning inte ännu överskridits, eller på motsvarande sätt då verksamheten redan hade överskridit förundersökningens tröskel för skäl att misstänka. Denna tolkningsbara otydlighet preciserades genom att i det nya 5 kap. om hemliga metoder för inhämtande av information i polislagen införa specificerade definitioner av förhindrande och avslöjande av brott i samband med helhetsreformen av polislagen 2014. 

Med avslöjande av brott avses enligt definitionen i 5 kap. 1 § 3 mom. i polislagen åtgärder som syftar till att klarlägga om det för inledande av förundersökning finns en i 3 kap. 3 § 1 mom. i förundersökningslagen avsedd grund, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet kan antas att ett brott har begåtts. Definitionen av förhindrande av brott och avslöjande av brott inverkar på hurudana metoder för inhämtande av information polisen får använda i olika skeden i anknytning till brotten samt på vilka villkor uppgifter som inhämtats med olika informationsinhämtningsmetoder får behandlas och registreras. 

Exempelvis är narkotikabrottslighet en typisk dold brottslighet, där det i synnerhet på införsel- och distributionsnivå eftersträvas stor ekonomisk vinning. Verksamheten anknyter ofta till kända organiserade kriminella sammanslutningar och den uppfyller också definitionen för vad som avses med en organiserad kriminell sammanslutning i 6 kap. 5 § 2 mom. i strafflagen. När polisen vanligen får information om förmedling av narkotika har den brottsliga verksamheten redan kunnat på under en längre tid, men tröskeln för förundersökning har inte ännu överskridits. Då blir element i anknytning till avslöjande av brott aktuella och polisen behöver då behandla personuppgifterna för personer som kan antas göra sig skyldiga till narkotikabrott eller grovt narkotikabrott och vidare fortsätta med sin verksamhet. Den gällande polislagen medger användning av hemliga metoder för inhämtande av information endast för avslöjande av brott som nämns i 3 §, där t.ex. inte de i 50 kap. i strafflagen definierade narkotikabrotten ingår och inte heller grova våldsbrott som begås utan sådant terroristiskt syfte som avses i 34 a kap. i strafflagen. Polisen har dock möjlighet att utföra andra åtgärder för att avslöja sådana brott. I dessa fall blir behandling och sammanlänkning av informationen, dvs. analys, synnerligen viktig och den kräver att de uppgifter som överskrider behandlingströskeln registreras i ett ändamålsenligt informationssystem. 

Intresset i fråga om uppgifter som behandlas för förebyggande och avslöjande av brott är underrättelsebetonat. Uppgifter behandlas för att man ska kunna rikta polisverksamheten, men också för att på ett större plan bli varse ändringar i den säkerhetspolitiska miljön så att man kan sträva efter att förebygga och att upprätthålla säkerheten. Det centrala målet med det underrättelsebetonade intresset för uppgifterna är att få en bättre förståelse för att kunna kontrollera de situationsfaktorer som rör säkerhets- och verksamhetsmiljön. Inom kriminalunderrättelseverksamheten gäller intresset för uppgifterna i första hand hur verksamheten ska riktas, medan tyngdpunkten vid undersökning ligger på det straffprocessuella användningsändamålet (bevisföring för tryggande av enskilda straffprocesser). 

Analysverksamheten som är nödvändig för att förutse händelseförlopp, upprätthålla lägesuppfattningen och upptäcka svaga signaler och fenomen kräver ett mångsidigt utnyttjande av informationsresurserna samt sammanställning och bearbetning av information ur flera källor. Utmaningarna i verksamhetsmiljön och den ökande mängden data kräver också att behandlingen av uppgifterna kan automatiseras i en högre grad än för närvarande, bl.a. genom utnyttjande av analysapplikationer. Bestämmelsen kompletteras till denna del av bestämmelserna om behandling av personuppgifter för annat ändamål än det ursprungliga i 13 och 14 §, enligt vilka uppgifter som samlats in för andra ändamål med behandlingen i enlighet med 2 kap. får utnyttjas för sådana ändamål med behandlingen som avses i 7 kap. 

I skäl 27 till dataskyddsdirektivet har beaktats att om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott. Vid behandling av personuppgifter med syfte att förebygga och avslöja brott ska också beaktas principen om ändamålsbegränsning samt andra krav på lagenlighet och proportionalitet som ställs i direktivet och dataskyddslagen avseende brottmål. 

I 2 mom. finns bestämmelser om de kategorier av personer i fråga om vilka de personuppgifter som föreskrivs i 1 mom. i huvudsak får behandlas. Vid utformningen av den föreslagna paragrafen har uppmärksamhet fästs vid förvaltningsutskottets anmärkningar i fråga om informationssystemet för misstänkta. I paragrafen finns en uttömmande förteckning över de kategorier av personer som får behandlas för ändamålen enligt paragrafen. För registrering och annan behandling av personuppgifter i fråga om dessa kategorier av personer gäller särskilda behandlingskriterier. När det gäller andra personer än sådana som antas ha anknytning till egentlig brottslig verksamhet får personuppgifterna behandlas endast när det är nödvändigt för att utföra ett uppdrag. 

Den föreslagna 7 § ersätter utöver informationssystemet för misstänkta också i 6 § i den gällande lagen avsedda tillfälliga register för brottsanalys som är specifika för en viss polisenhet, vars syfte är att förhindra eller avslöja ett brott eller en brottshelhet som består av flera brott. I den gällande lagen om behandling av personuppgifter i polisens verksamhet föreskrivs inte om personkategorier vars personuppgifter får registreras i tillfälliga register för brottsanalys. Till denna del förtydligar 2 mom. nuläget och där preciseras de personkategorier som kan behandlas för brottsanalys. 

I momentet föreslås att behandlingströskeln ska vara knuten till uttrycket ”med fog kan antas”. Med tanke på kriminalunderrättelseverksamhet beskriver uttrycket på ett ändamålsenligt sätt behandlingströskeln, som är lägre än tröskeln för inledande av förundersökning. Med uttrycket ”med fog kan antas ha gjort sig eller göra sig skyldig” hänvisas till en situation där man har fått tips om ett brott, men att tröskeln ”skäl att misstänka” för inledande av förundersökning ännu inte har nåtts, dvs. ett brott som planeras och pågår och kriminalunderrättelser inhämtas för att förhindra brottet. I momentet avses personer som har anknytning till en förmodad brottslig verksamhet, men rollen för alla personer som anknyter till ärendet är inte nödvändigtvis klar. 

Till den personkategori som avses i 1 punkten hör utöver personer som antas vara gärningsmän i enlighet med straffrättens delaktighetslära också delaktiga, dvs. medhjälpare, anstiftare och medgärningsmän. 

I momentet föreslås en, jämfört med den gällande lagen, ny bestämmelse om en personkategori som gäller personer som anknyter till brott. Bestämmelsen kompletterar den om personer som är delaktiga i eller främjar brott. I 2 punkten föreskrivs om personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott. I artikel 6 i dataskyddsdirektivet föreskrivs om åtskillnad mellan olika kategorier av registrerade. I artikel 6 d nämns personer med kontakter eller band till de aktuella personerna. Dessa personer ska anknyta till personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott eller personer som dömts för brott. 

Betydelsen av förhållandet för en person som är i kontakt med en person som är på väg att begå ett brott ska bedömas redan när det vid en brottsanalys upptäcks flera kontakter mellan personerna, av vilka den ena är en person i enlighet med 1 punkten och den andra inte är det. Det kan finnas en naturlig förklaring till förhållandet, t.ex. ett kundförhållande. I 2 punkten avses personer genom vilka man kan få betydande information om personer som avses i 1 punkten och med tanke på brottsanalysen. I bestämmelsen krävs det dock att också en sådan personkategori har kontakt med ett antaget brott, med beaktande av kriminalunderrättelseinhämtningens eventuella inverkan på personernas ställning och rättsskydd. Därmed räcker det inte enbart med ett antagande eller upprepade sammanträffande för att tröskeln för registrering ska överskridas. 

I 3 punkten avses personer som är föremål för observation i enlighet med 5 kap. 13 § i polislagen i fråga om ett uppdrag som gäller att förebygga eller avslöja brott. Med observation avses i enlighet med 5 kap. 13 § 1 mom. i polislagen iakttagande av en viss person i hemlighet i syfte att inhämta information. Till i punkten avsedda personer hör sådana personer som är föremål för observation, vars uppgifter inte kan behandlas med stöd av 1 och 2 punkten. 

I 3 mom. föreskrivs om sådana kategorier av personer som inte i första hand är målpersoner för polisens kriminalunderrättelseinhämtning. Dessa personkategorier är personer som är offer för brott eller som uppträder som målsägande, som har anmält ett brott eller är vittnen till ett brott. Med vittne avses i detta moment inte nödvändigtvis personer som namngetts som vittnen i en straffprocess. För behandlingen av personuppgifter i fråga om dessa kategorier ställs särskilda skyddsgarantier. Behandlingen av personuppgifter som gäller dessa kategorier av personer får inte gå längre än vad som är nödvändigt för att nå målet, t.ex. att förebygga ett brott. Det kan vara nödvändigt att behandla personuppgifterna för dessa kategorier av personer t.ex. i situationer när man försöker förebygga ett brott mot ett vittne eller en målsägande i ett redan inträffat brott, exempelvis i ett hotärende, där den planerade gärningen riktar sig mot en viss individ. En sådan situation kan t.ex. vara planering av en kidnappning eller en hämndåtgärd från en organiserad kriminell sammanslutning mot en person i en annan kriminell sammanslutning. 

I 4 mom. föreskrivs om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott. Med brottsanalys avses behandling av information som inhämtats genom planerade och systematiska metoder för inhämtning av kriminalunderrättelser eller från någon annan källa i syfte att upptäcka likheter och olikheter i fråga om brott eller brottsfenomen och för att kunna förutse och förhindra brott i framtiden. En effektiv brottsanalys är en nödvändig förutsättning för en planmässig och systematisk brottsbekämpning. Ett i momentet avsett beslut kan fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. Beslutet ska fattas skriftligt. Utgångspunkten är att den personuppgiftsansvarige beslutar om behandlingen av personuppgifter. I fortsättningen fattar Polisstyrelsen som personuppgiftsansvarig beslut om inrättande av riksomfattande, permanenta analysbaser. 

Enligt 8 § i den gällande lagen fattas beslut om inrättande av temporära personregister av den polisenhet som svarar för verksamheten. I den gällande lagen finns inga bestämmelser om inledande av en sådan behandling av personuppgifter i form av en underrättelsepromemoria som inte leder till att ett personregister inrättas. Till denna del för bestämmelsen som utgångspunkt inte med sig någon ändring i det rådande rättsläget. 

Polisstyrelsen får enligt det föreslagna 4 mom. fortfarande bestämma om beslutanderätten, t.ex. så att en polisenhet fortfarande får fatta beslut om sådan temporär brottsanalys som enheten behöver för sin verksamhet. 

I 5 mom. föreskrivs om behandlingen av observationsuppgifter. Bestämmelsen motsvarar i sak 2 § 2 mom. 11 punkten i den gällande lagen. Observationsuppgifter kan innehålla uppgifter om observationer som gjorts av poliser eller uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons hotelser eller uppträdande i övrigt med fog kan bedömas ha samband med brottslig verksamhet. Det är fråga om uppgifter som polisen får vid observation av verksamhetsmiljön eller uppgifter som en utomstående har meddelat till polisen. Polisen kan t.ex. få ett anonymt tips om personer som uppträder misstänkt eller om misstänkt verksamhet som i sig inte nödvändigtvis är lagstridig. Kombinerat med andra faktorer eller omständigheter kan observationsuppgifterna dock tyda på brottslig verksamhet. 

Polisen får också observationsuppgifter av utomstående personer t.ex. genom systemet för nättips. Av de tips som kommer in förmedlas sådana tips vidare till polisens enheter för åtgärder där man måste bedöma om ärendet ska skötas av polisen eller om det finns skäl att misstänkta brott. Genom att analysera informationen strävar man efter att förhindra, avslöja och utreda brott och brottsplaner, att identifiera gärningsmännen samt rikta eventuella åtgärder för övervakning av tillstånd mot dem som stöder förhindrandet av brott. 

I 6 mom. föreskrivs, på motsvarande sätt som i 5 § 3 mom., om polisens rätt att behandla personuppgifter för bedömning av om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 7 §. 

I den gällande lagen i 4 § 4 om informationssystemet för misstänkta ingår en begränsningsbestämmelse, enligt vilken endast polispersonal som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppgifter samt de kontaktpersoner som polisen sänt utomlands genom teknisk anslutning har tillgång till informationssystemet för misstänkta. Avsikten är inte att genom den föreslagna paragrafen som en särskild skyddsgaranti ändra behovet av begränsning i fråga om dem som har rätt att använda registret. I 4 § i det första lagförslaget föreslås dock inte någon motsvarande begränsningsbestämmelse, utan begränsningen av tillgången till registret bedöms ske genom bestämmelserna om den allmänna informationssäkerheten. Bestämmelser om informationssäkerhet finns i 32 § i dataskyddslagen avseende brottmål. Enligt 5 punkten i den lagen har den personuppgiftsansvarige skyldighet säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras användarrättigheter. Användarrättigheter till informationssystemet för polisärenden beviljas med arbetsuppgifterna som grund. 

Den personuppgiftsansvarige ska i enlighet med kraven i 8 § i dataskyddslagen avseende brottmål vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 

8 §.Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott. I 1 mom. preciseras de personuppgifter som utöver de grundläggande personuppgifter som avses i 4 § får behandlas för de ändamål som föreskrivs i 7 §. 

I de i 1 punkten avsedda behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppdrag uppgifter, åtgärder och händelser ingår i synnerhet uppgifter som gäller kriminalunderrättelseuppdrag och förebyggande verksamhet, uppgifter om de metoder för inhämtande av information som använts, polisens åtgärder och ärendets behandlingsskeden samt uppgifter om brott som fåtts av en person eller via denne, vid behov även personernas förhållande till andra personer. Reglering av denna karaktär har i fråga om förebyggande och avslöjande verksamhet delvis ingått i 2 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. Tolkningstvetydigheten i regleringen har dock i någon mån lett till ett osäkert rättsläge. Syftet med punkten är att skapa klarhet i det nuvarande rättsläget. En tillräcklig beskrivning av händelser och specificering av anknytande uppdrag och åtgärder är viktigt förutom med tanke på polisens verksamhetsmässiga behov också för laglighetskontrollen och tillsynen av de registrerades rättigheter. Genom dokumentering av verksamheten säkerställs både objektets rättsskydd och polisens förmåga att utföra sina uppgifter. Nertecknad information kan också utnyttjas för att rikta polisens verksamhet på ett ändamålsenligt sätt i enlighet med den föreslagna 13 § 1 mom. 8 punkten. 

Momentets 2 punkt är till sitt innehåll de facto omfattande och med stöd av den får polisen behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den delen att uppgifterna är behövliga med tanke på förbyggande och utredning av brott. 

Signalementsuppgifter enligt 3 punkten innefattar bl.a. en persons längd, vikt och ögonfärg. Signalementsuppgifterna omfattar också bl.a. en persons tatueringar eller andra externa kännetecken, t.ex. ärr och födelsemärken. Dessutom innefattar punkten också biometriska uppgifter såsom finger-, hand- och fotavtryck, ansiktsbild, röst-, lukt och handstilsprov samt fysiskt DNA-prov och den digitala eller någon annan DNA-profil som bestämts utifrån provet. Behandlingen av biometriska uppgifter som hör till särskilda kategorier av personuppgifter är begränsad endast till behandling av nödvändiga uppgifter. Med tanke på polisens och den registrerades rättsskydd är det nödvändigt att polisen på ett tillförlitligt sätt kan säkerställa identiteten för den som ska registreras. En persons signalementsuppgifter behövs för att det ska gå att identifiera en person på ett tillförlitligt sätt och de kan också vara de enda till buds stående individualiserings- och identifieringsuppgifterna om en person. Exempelvis är en persons fotografi ofta mer tillförlitligt än det namn som personen använder. Förslaget ändrar inte på det rådande rättsläget, utan innehåller närmast de preciseringar som krävs för EU:s reform av referensramen för dataskyddet. 

I momentets 4punkt föreskrivs om behandlingen av s.k. säkerhetsuppgifter på motsvarande sätt som i den föreslagna 6 § 1 mom. 3 punkten. 

I 11 § i dataskyddslagen avseende brottmål föreskrivs i enlighet med kraven i dataskyddsdirektivet om en högre behandlingströskel för personuppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 1—4 punkten får behandlas endast om det är nödvändigt med tanke på ändamålet med behandlingen. Uppgifter som hör till särskilda kategorier av personuppgifter ingår utöver i de signalementsuppgifter som behövs för fastställande av identiteten och som avses i 1 mom. 3 punkten dessutom i synnerhet i de säkerhetsuppgifter som avses i 4 punkten. 

I 2 mom. föreskrivs om skyldighet att till personuppgifterna om möjligt foga en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. I praktiken är det fråga om en vedertaget förfarande där polisen bedömer graden av uppgifternas tillförlitlighet. Genom bestämmelsen beaktas kravet enligt artikel 7.1 i dataskyddsdirektivet på att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Genom bestämmelsen stöds kravet i artikel 7.2 på att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Polisen ska också i den mån det är möjligt kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. 

9 §.Behandling av uppgifter om informationskällor. I paragrafen föreslås bestämmelser om behandling av uppgifter om informationskällor. I 2 § 3 mom. 9 punkten i den gällande lagen om behandling av personuppgifter i polisens verksamhet föreskrivs om registrering informationssystemet för polisärenden av uppgifter om en person som avses i 5 kap. 40 § i polislagen och som har använts som informationskälla för hindrande, avslöjande eller utredning av brott samt uppgifter om hur informationskällan har använts samt om tillsynen. Bestämmelserna om användning av informationskällor och styrd användning av informationskällor skiljer sig dock från de flesta bestämmelserna om inhämtande av information i 5 kap. i polislagen i den meningen att de inhämtade uppgifterna kan vara av betydelse för skötseln av alla slag av uppgifter som avses i 1 kap. 1 § i polislagen. 

Enligt 5 kap. 40 § 1 mom. i polislagen avses med användning av informationskällor annat än sporadiskt konfidentiellt mottagande av information av betydelse för skötseln av i 1 kap. 1 § i polislagen avsedda uppgifter av personer som inte hör till polisen eller till någon annan förundersökningsmyndighet. Enligt 2 mom. i den paragrafen får polisen be att en för ändamålet godkänd informationskälla som har lämpliga personliga egenskaper och är registrerad och har samtyckt till inhämtandet av information inhämtar den information som avses i 1 mom. 

Polisen får med stöd av den föreslagna 10 § behandla uppgifter om personer som avses i 5 kap. 40 § i polislagen för ändamål som avses i 5, 7 och 11 §, dvs. för det ursprungliga ändamålet med behandlingen i anknytning till utförande av samtliga i 1 kap. 1 § i polislagen avsedda uppgifter. Som exempel på annat än brottsbekämpning kan nämnas den situationen att polisen via en informationskälla får sådan information om en hobbyskytts hälsotillstånd som leder till att myndigheten kräver ett läkarintyg och därefter drar in dennes vapenlicens (RP 224/2010 rd, s. 129). 

I paragrafen klargörs dessutom ställningen för de uppgifter som informationskällan lämnat som uppgifter om en informationskälla. Bestämmelsen gör det med tanke på användningen och övervakningen av informationskällor också möjligt att behandla uppgifter i anknytning till verifiering av de uppgifter källan lämnat. I dessa uppgifter kan ingå t.ex. uppgifter i olika system som behandlas för att säkerställa identiteten på den person som källan har uppgett. 

I paragrafen föreslås en hänvisning också till tvångsmedelslagen, där det i 10 kap. 39 § finns bestämmelser om användning av informationskällor för utredning av brott. Ytterligare bestämmelser om registreringen och övervakningen av informationskällor finns i 13 § 2 mom. och 14 § i statsrådets förordning om förundersökning, tvångsmedel och hemligt inhämtande av information (122/2014). 

Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen. 

10 §.Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov. Metoderna för analyser av DNA har utvecklats och blivit mycket känsligare under de senaste åren. I dagsläget gör metodernas känslighet å ena sidan en effektive brottsundersökning möjlig, å andra sidan avslöjar de DNA också från andra källor. Med hjälp av DNA-profiler som fastställts utifrån DNA-prov för eliminering är det möjligt att konstatera en eventuell brottsplats eller att ett prov från en brottsplats har nedsmutsats och rikta undersökningen med hjälp av uteslutningsmetoden. Dessutom kan man med hjälp av de fastställda profilerna och när nedsmutsning upptäcks instruera personalen för ett kvalitativt arbete och få fram de arbetsskeden då risken för kontaminering är speciellt stor. 

Syftet med behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov är att undersöka eventuell nedsmutsning, eller kontaminering, av de DNA-prov som registrerats vid polisens tekniska undersökning (prov från brottsplatser) och att identifiera, korrigera och förebygga de faktorer som lett till nedsmutsningen. Syftet är dessutom att undersöka olika kvalitetssäkringsfaktorer, t.ex. renheten i polisinrättningarnas kriminaltekniska arbetsutrymmen (övervakningsprov). I första hand är strävan att registrera DNA-profiler för polispersonal som deltar i behandlingen av prov från brottsplatser. 

Det är frivilligt att lämna ett DNA-prov för eliminering. Av utredningstekniska skäl har undersökningsledarna behov av att t.ex. till brottsplatser sända endast sådana personer vars DNA-prov för kvalitetssäkring har registrerats. Med hjälp av information om kontaminering som fåtts vid en eventuell DNA-träff har undersökningsledaren möjlighet att rikta undersökningen eller utesluta en eventuell främmande DNA-profil från de prov som registrerats på brottsplatsen. 

11 §.Behandling av personuppgifter i polisens övriga lagstadgade uppgifter. Den behandling av personuppgifter som avses i paragrafen hör till tillämpningsområdet för dataskyddsförordningen och den nationella dataskyddslag som kompletterar förordningen. Med paragrafen ersätts bestämmelserna i 3 § i den gällande lagen, vilka gäller registrering av personuppgifter i informationssystemet för förvaltningsärenden för skötseln av de ärenden som föreskrivs i skjutvapenlagen, lagen om identitetskort (663/2016), passlagen, lagen om privata säkerhetstjänster (1085/2015), lagen om penninginsamlingar (255/2006), lotterilagen och lagen om saluföring och användning av sprängämnesprekursorer (653/2014). På behandling av identifieringsuppgifter enligt 3 § 3 mom. 7 punkten i den gällande lagen, som avser behandling av personuppgifter för skötseln av uppgifterna enligt 131 § i utlänningslagen, tillämpas 5 och 6 §. 

Med avvikelse från 3 § i den gällande lagen räknas i paragrafen inte upp de bestämmelser där det föreskrivs om polisens uppgifter i anslutning till tillståndsförvaltningen. Den föreslagna regleringstekniken, som är smidigare än den nuvarande, gör det möjligt att i större utsträckning än för närvarande riksomfattande behandla personuppgifter för skötseln av de uppgifter som föreskrivs i 1 kap. 1 § 2 mom. 

För polisen har utöver skötseln av uppgifter i samband med tillståndsförvaltning separat föreskrivits sådana övervakningsuppgifter som inte anknyter till förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förhindrande av hot mot den allmänna säkerheten. Paragrafen ska utöver på uppgifter i samband med tillståndsförvaltningen också tillämpas på den behandling av personuppgifter som behövs för utförandet av dessa uppgifter. 

Alla uppgifter enligt 1 kap. 1 § 2 mom. i polislagen hör dock inte till tillämpningsområdet för paragrafen. Exempelvis hör behandling av personuppgifter för att eftersöka försvunna personer typiskt till tillämpningsområdet för dataskyddsdirektivet och lagen om genomförande av direktivet. När det gäller uppgifter i anslutning till tillståndsförvaltningen hör tillståndsförvaltningen till tillämpningsområdet för 11 och 12 §, men på övervakningen av tillstånd tillämpas beroende av verksamhetens mer detaljerade karaktär 11 och 12 § eller 5 och 6 §. När tillståndsövervakning utförs i samband med polisens fältuppgifter, behandlas personuppgifterna med stöd av 5 och 6 § och på behandlingen tillämpas som allmänna författningar dataskyddsdirektivet och dataskyddslagen avseende brottmål. 

Exempelvis överförs personuppgifter som behandlas vid hantering av hittegods enligt hittegodslagen i enlighet med den föreslagna 11 § från de enhetsspecifika personregister som upprättats med stöd av 6 § i den gällande lagen och där uppgifterna registrerats hittills, till polisens riksomfattande registerföring. Förslaget gör det också möjligt att behandla personuppgifter i anknytning till de uppgifter som föreskrivs för polisen i lagen om skjutbanor i riksomfattande informationssystem. Dessutom får polisen med stöd av paragrafen behandla personuppgifter behövliga för skötseln av de uppgifter som föreskrivs bl.a. i körkortslagen (386/2011), vägtrafiklagen (729/2018) och lagen om penningtvätt. 

Kategorierna av personer som får behandlas för de ändamål som föreskrivs i paragrafen bestäms utifrån den speciallagstiftning som gäller polisen. För skötseln av de lagstadgade uppgifter som avses i paragrafen behandlar polisen i synnerhet personuppgifterna för följande kategorier av personer: 1) i enlighet med de lagar som gäller polisens uppgifter i samband med tillståndsförvaltningen uppgifter om tillstånd, beslut om godkännande och personer som ansöker om och får godkännande samt föremålet för ansökan och anmälare, inklusive också personer som ansöker om och innehar pass och identitetskort, 2) för skötseln av uppgifter i samband med tillståndsförvaltningen ombud för samfund som behandlas, medlemmarna i samfundens förvaltningsorgan samt banansvariga i enlighet med lagen om skjutbanor, 3) personer som är föremål för en skjutvapenanmälan och yrkesutbildade personer inom hälso- och sjukvården som har gjort en anmälan i enlighet med 114 § i skjutvapenlagen, 4) kontaktpersoner och ansvariga för samt personer som i praktiken anordnar penninginsamlingar och lotterier, samt 5) personer som är anställda hos näringsidkare eller sammanslutningar som det föreskrivs att polisen ska övervaka. 

Med stöd av paragrafen får också uppgifter om personkategorier behövliga för skötseln av andra uppgifter som föreskrivs för polisen i samband med tillståndsförvaltning och tillståndsövervakning samt hittegodsverksamhet behandlas. Till dessa kategorier hör t.ex. personer i anknytning till expedieringsuppgifter för handlingar, förvaltare av konkursbon och dödsbon och delägare i dödsbon, personer som lämnat utlåtande, personer som ska registreras med stöd av hittegodslagen, sysslomän som förordnas i enlighet med lagen om lagen om penninginsamlingar och lotterilagen, fotografer som registrerar fotografier för tillståndshandlingar samt personer som lämnar in ett skjutvapen eller något annat med stöd av skjutvapenlagen registrerat föremål och ägare till skjutvapen, vars personuppgifter registreras i vapenregistersystemet för att den uppföljning av ett vapens livscykel som krävs enligt vapenlagstiftningen ska vara möjlig. Paragrafen omfattar dessutom personer vars personuppgifter ska behandlas för administrativa påföljder i enlighet med vägtrafiklagen och lagen om penningtvätt samt andra personer i anknytning till de övervakningsuppgifter som avses i paragrafen, vars personuppgifter behöver behandlas för skötseln av polisens lagstadgade uppgifter. 

12 §.Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter. I paragrafen preciseras de uppgiftskategorier i fråga om vilka polisen utöver de grundläggande personuppgifterna som avses i 4 § får behandla personuppgifter för de ändamål som avses i 11 §. Med tillstånd avses alla de tillstånd, inklusive godkännanden och resedokument, i anknytning till vilka det för polisen har föreskrivits uppgifter som gäller beviljande och övervakning. 

I 1 mom. 1 punkten avsedda uppgifter som gäller ansökan, tillstånd, utlåtande, anmälan och beslut ingår också uppgifter om återkallande av tillstånd, om försvunna eller stulna tillståndshandlingar samt om redovisning och slutanmälan i enlighet med lagen om penninginsamlingar och lotterilagen. I 2 punkten avsedda uppgifter som gäller hinder för beviljande eller giltighet av ett tillstånd samt uppgifter som behövs för utredande av förutsättningarna för beviljande eller giltighet av ett tillstånd ingår t.ex. intyg och uppgifter som fåtts av tillståndshavaren eller andra myndigheter, läroanstalter och yrkesutbildade personer inom hälso- och sjukvården samt uppgifter för skjutvapenanmälan i enlighet med 114 § i skjutvapenlagen. Med stöd av 3 punkten får bl.a. uppgifter om myndighetens kontroller, varningar och anmärkningar samt åtgärder i anknytning till förbud och vitesförfarande. Utöver polisens åtgärder registreras i anknytning till ärenden i samband med tillståndsförvaltningen också t.ex. åtgärder av Migrationsverket och finska beskickningar. 

I 4 punkten förskrivs om behandlingen av en persons fotografi och namnteckningsprov, som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett sådant tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för. I enlighet med skäl 51 till dataskyddsförordningen bör behandling av foton inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person genom biometriska uppgifter. Ett sådant fotografi som avses i 4 punkten hör inte till biometriska uppgifter i enlighet med definitionen i artikel 4 i dataskyddsförordningen. På grund av den särskilda ställningen för biometriska uppgifter föreskrivs i 5 punkten särskilt om biometrisk behandling av fingeravtrycksuppgifter och den ansiktsbild som behövs för skötseln av ärenden som föreskrivs i lagen om identitetskort och i passlagen. 

I 6 punkten föreskrivs om behandlingen av behövliga uppgifter för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet. I 3 § i den gällande lagen finns inte några bestämmelser om registrering av s.k. säkerhetsinformation i informationssystemet för förvaltningsärenden. I synnerhet behandling av uppgifter som gäller farlighet eller oberäknelighet i fråga om ett objekt eller en person kan dock för att garantera personens säkerhet eller myndighetens säkerhet i arbetet vara behövligt också i situationer där uppgifterna behandlas för skötseln av i 11 § avsedda polisens lagstadgade uppgifter. 

Momentets 7 punkt omfattar uppgifter behövliga för behandlingen av de administrativa påföljder som polisen påför. Till de administrativa påföljder som avses i punkten hör avgift för trafikförseelse i enlighet med 160 § och fordonspecifik avgift för trafikförseelse i enlighet med 161 § i vägtrafiklagen samt de administrativa påföljder som avses i 8 kap. i lagen om penningtvätt. 

Polisen får som en del av de uppgifter som avses i 12 § behandla också i artikel 9 i dataskyddsförordningen avsedda särskilda kategorier av personuppgifter. Dessa är i 1 mom. 2 punkten avsedda hälsouppgifter och övriga behövliga uppgifter som hör till särskilda kategorier av personuppgifter, i 5 punkten för skötseln av ärenden enligt lagen om identitetskort och passlagen avsedda biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass samt uppgifter som ingår i de i 6 punkten avsedda nödvändiga uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. 

Som en del av tillsynen av det penningspelsbolag som nämns i 11 § i lotterilagen behandlar polisen också personuppgifter i bolagets kundregister och spelmaterial. För behandlingen av sådana personuppgifter föreslås ett separat 2 mom. Behandlingen av spelbolagets uppgifter om kunder och spelare ska begränsas till vad som behövs för tillsynen av penningspelsbolaget, eftersom det ursprungliga ändamålet med behandlingen av personuppgifterna i fråga är behandling av penningspelsbolagets kunduppgifter. Polisen får behandla uppgifter om spelare också för sådan tillsyn enligt lagen om penningtvätt som gäller penningspelsbolag och sammanslutningar som förmedlar deltagaranmälningar och deltagaravgifter i anslutning till penningspel, t.ex. för att utreda om penningspelsbolaget eller dess ombud har utfört kundkontrollen i enlighet med kraven i lagen. Kundens personuppgifter behövs dessutom för att garantera spelarnas rättskydd vid kontrollen av spelarnas spelhändelser. 

När det gäller uppgifter om spelare får polisen behandla i synnerhet följande personuppgifter: spelarkod, födelsetid, kön, kontaktuppgifter, dödsdag, den kundnummer som spelbolaget gett, spelarens kontonummer, registreringsdag, spelkontots stängningsdatum, spelgränser som spelaren satt, penningöverföringar till spelkontot, gräns för penningöverföring till spelkontot, uppgifter om spelhändelser, spärrar och spelförbud. Förteckningen är dock inte uttömmande. En del av de uppgifter som får behandlas kan direkt kopplas till en enskild spelare (t.ex. spelarkoden eller spelarens kontonummer) och personen kan därmed identifieras utifrån denna information. En del av de uppgifter som behandlas är däremot sådana uppgifter i anknytning till personuppgifterna (t.ex. spelgränser, spärrar eller spelförbud) utifrån vilka en enskild spelare inte direkt kan identifieras, utan en identifiering kräver att också någon annan information som individualiserar personen kombineras med den aktuella informationen. Dock ska uppgifter om spelare inte vara möjligt att koppla samman med enskilda fysiska personer enbart utifrån de uppgifter som penningspelsbolaget överför som datamängd till polisen, utan polisen får personuppgifterna för en enskild spelare endast via penningspelsbolaget. 

Skyldigheter i fråga om registerföring samt preciserande bestämmelser om registrens datainnehåll finns också i de speciallagar där det föreskrivs om polisens uppgifter i samband med tillståndsförvaltningen. Exempelvis föreskrivs det om tillsynsregistret över lotterier i 42 b § i lotterilagen, om passregistret i 29 § i passlagen och om identitetskortsregistret i 31 § i lagen om identitetskort. 

13 §.Behandling av personuppgifter för andra ändamål än det ursprungliga. I den föreslagna 13 § föreskrivs om behandling av de personuppgifter som avses i 5—9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga, med undantag av behandling av uppgifter som hör till särskilda kategorier av personuppgifter, som det föreskrivs om i 14, och behandling av personuppgifter vid tillståndsprövning och tillsyn över tillstånd, som det föreskrivs om i 15 §. Med paragrafen ersätts i huvudsak bestämmelserna i 16 § 1 och 2 mom. i den gällande lagen, men bestämmelserna utvidgas och preciseras till vissa delar. 

I 1 mom. räknas de ändamål upp för vilka polisen får behandla personuppgifter som samlats in för ett annat ursprungligt ändamål. Bestämmelserna i momentet tillämpas om det inte någon annanstans i lag föreskrivs strängare villkor för behandlingen av en uppgift. Med detta avses t.ex. bestämmelserna om villkoren för användning av överskottsinformation som fåtts genom vissa åtgärder i 5 kap. 54 § i polislagen och 10 kap. 56 § i tvångsmedelslagen. 

Enligt 1 punkten får polisen behandla personuppgifterna för att förebygga eller avslöja brott. I denna punkt beaktas med tanke på 16 § i den gällande lagen som nytt behandlingsändamål avslöjande av brott, som infördes i förteckningen över polisens uppgifter i 1 kap. 1 § 1 mom. i polislagen vid ingången av 2014 i samband med helhetsreformen av polislagen. Det är tillåtet att behandla uppgifter för att förebygga brott också enligt 16 § 1 mom. i den gällande lagen, men till skillnad från den föreslagna 1 punkten är behandlingen begränsad till förebyggande av ett brott som kan medföra fängelsestraff. 

Momentets 2 punkt motsvarar i sak gällande lag. Behandling av personuppgifter för att utreda ett brott är enligt 2 punkten möjlig, på samma sätt som i 16 § 1 mom. 3 punkten i den gällande lagen, endast när det är fråga om ett brott som kan medföra fängelsestraff. 

Momentets 3 och 4 punkt är nya jämfört med den gällande lagen. I 3 punkten föreskrivs om behandling av personuppgifter för att påträffa en efterlyst. Efterlysning definieras inte i lagen. Enligt motiveringen till 2 kap. 3 § som gäller gripande av en efterlyst i polislagen avses med en efterlysning som utfärdas av polisen ett meddelande som är baserat på en behörig polismyndighets beslut och som med hjälp av polisens personregister delges myndigheterna med begäran om information som behövs för att påträffa en viss person. Syftet med efterlysningen är att en i den angiven tjänsteåtgärd ska kunna riktas mot den efterlyste eller mot egendom i dennes besittning. (RP 224/2010 rd, s. 76). Behandling av personuppgifter för annat ändamål än det ursprungliga ändamålet är behövligt för att påträffa en efterlyst t.ex. i en situation när behovet av att påträffa en efterlyst gäller att tillkännage den efterlyste handlingar som anknyter till tillståndsförvaltningen. En efterlysning ska kunna meddelas alla aktörer som eventuellt har att göra med den efterlyste. 

Momentets 5 punkt motsvarar delvis till sitt innehåll 16 § 1 mom. 2 punkten i den gällande lagen, men i stället för avvärjande av en omedelbart förestående allvarlig fara som hotar den allmänna säkerheten föreskrivs det om förhindrande av betydande fara för någons liv, hälsa eller frihet. I punkten ingår i motsats till tidigare också förhindrande av betydande miljö-, egendoms- eller förmögenhetsskada. 

Momentets 6 punkt motsvarar till sitt innehåll 16 § 1 mom. 1 punkten i den gällande lagen, men ordalydelsen ändras så att den motsvarar den terminologi som används i dataskyddslagen avseende brottmål och i övrigt i lagstiftningen. Med momentets 7 punkt ersätts 16 § 1 mom. 4 punkten i den gällande lagen. Momentets 8 punkt är en ny bestämmelse genom vilken behandling av personuppgifter görs möjlig för att rikta polisens verksamhet. 

Ändamålen med behandlingen enligt den föreslagna 1, 4, 5 och 8 punkten motsvarar till sitt innehåll bestämmelserna i 5 kap. 54 § 4 och 5 mom. i polislagen och 10 kap. 56 § 4 och 5 mom. i tvångsmedelslagen om behandling av överskottsinformation som erhållits med hemliga metoder för inhämtande av information och hemliga tvångsmedel. Överskottsinformation får i enlighet med polislagen och tvångsmedelslagen alltid användas för förhindrande av brott, för inriktning av polisens verksamhet och som en utredning som stöder det att någon är oskyldig. Överskottsinformation får också användas för att förhindra betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada. Med användning av informationen för inriktning av polisens verksamhet avses i den föreslagna 8 punkten också sådant indirekt utnyttjande av informationen så att den inte används som bevisning eller som grund för att använda en metod för informationsinhämtning. Överskottsinformation kan användas för att inrikta polisens verksamhet t.ex. när det gäller förhindrande eller avslöjande av brott, analysverksamhet, utredning av tröskeln för inledande av förundersökning eller inriktande av förundersökningen (RP 224/2010 rd, s. 139). 

I 2 mom. föreskrivs om behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. I 2 mom. beaktas dessutom polisens med dessa jämförbara behov att behandla personuppgifter för laglighetsövervakning, analys, planering och utveckling. På samma sätt som i dagsläget får personuppgifter också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 

Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. Momentet ändrades genom lagändringen 1181/2013 som trädde i kraft vid ingången av 2014 så att användningen av uppgifterna i informationssystemet för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att hålla kvar denna bestämmelse, också med beaktande av behovet att stärka den ändamålsenliga tillsynen av polisens informationssystem. För tydlighetens skull föreslås i momentet en ny punkt om analysverksamhet, som till sin karaktär är jämförbar med den planerings- och utvecklingsverksamhet som avses i 16 § 2 mom. i den gällande lagen. Med analysverksamhet som stöder en informationsstyrd polisverksamhet avses i synnerhet strategisk analys för att upprätthålla en lägesbild över brottsligheten och förutse hotbilder inom brottsligheten, vilket förutsätter möjlighet att utnyttja också de personuppgifter som polisen har. När det gäller de ändamål med behandlingen som avses i momentet är det inte fråga om utförande av ett enskilt polisuppdrag, utan ett mer allmänt behov av att behandla personuppgifter för vissa ändamål. 

I 3 mom. föreskrivs på motsvarande sätt som i 3 § 3 mom. 3 punkten i den gällande lagen att ett fotografi av en person och personens namnteckningsprov som registrerats för framställning av en identitetshandling, med personens samtycke får även användas för något annat förvaltningstillstånd eller beslut som personen ansökt om. Enligt skäl 51 till dataskyddsförordningen bör behandling av foton inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Vid utarbetning av ett sådant förvaltningstillstånd eller beslut som avses i 3 mom. är det alltså inte fråga om sådan behandling av särskilda kategorier av personuppgifter som avses i 14 §. 

I 4 mom. avgränsas de tillsynsuppgifter som polisen fått i samband med tillsyn av penningspelsbolag i enlighet med lotterilagen och lagen om förhindrande av penningtvätt och av finansiering av terrorism till att stå utanför tillämpningsområdet i fråga om behandling av personuppgifter för andra ändamål än det ursprungliga och dessa uppgifter får endast användas för sitt ursprungliga ändamål i enlighet med 11 §. Bestämmelsen utgör inget hinder för att använda personuppgifterna för sådana anmälningar till centralen för utredning av penningtvätt som avses i 7 kap. 1 § 1 mom. 4 punkten i lagen om penningtvätt eller för att uppfylla någon annan anmälningsskyldighet som föreskrivs i lagen. 

14 §.Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga. I paragrafen preciseras de ändamål för vilka uppgifter som hör till särskilda kategorier av personuppgifter får behandlas utöver det ursprungliga ändamålet. I 1 mom. begränsas behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter till situationer där behandling i enlighet med de i 13 § 1 och 2 mom. föreskrivna ändamålen är nödvändig. I lag kan dock föreskrivas undantag till bestämmelsen i 1 mom. inom ramarna för dataskyddslagstiftningen. 

I 2 mom. föreskrivs med avvikelse från 1 mom. om en noggrannare avgränsning, som gäller användning av biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen. Dessa uppgifter får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller för ett brott eller ett offer som annars förblivit oidentifierat. Grundlagsutskottet bedömde i sitt utlåtande 47/2010 rd att fingeravtrycksuppgifter i passregistret får användas för att identifiera ett offer som annars inte kan identifieras kan ses som ett sådant exakt avgränsat och obetydligt undantag från ändamålsbundenheten som utskottet krävt. Bestämmelsen motsvarar till sitt innehåll 16 a § 1 mom. till den del det gäller behandlingen av fingeravtrycksuppgifter för pass. Fingeravtrycksuppgifter i passregistret får utöver för sitt ursprungliga ändamål med behandlingen, för utförande av de uppgifter som föreskrivs i passlagen, behandlas endast om det är nödvändigt för att identifiera ett offer som annars förblivit oidentifierat. 

Med ett oidentifierat offer avses i 2 mom. utöver avlidna också offer som befinner sig allvarlig fara för liv eller hälsa och som kan identifieras endast med hjälp av fingeravtrycksuppgifter eller andra biometriska uppgifter, t.ex. då offret länge är i medvetslöst tillstånd. Begränsningen avgränsas med avvikelse från 16 a § i den gällande lagen till att gälla också biometriska bilduppgifter vars ursprungliga ändamål med behandlingen är identifiering av en person och framställning av en identitetshandling. 

I 3 mom. föreskrivs på motsvarande sätt som i 3 § 3 mom. 4 punkten i den gällande lagen om att fingeravtrycksuppgifter för en person som ansökt om pass med den berörda personens tillstånd får användas också för framställning av en identitetshandling som personen ansökt om senare. Andra uppgifter utöver fingeravtryck som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och i passlagen används inte för framställning av en handling i biometrisk form som styrker identiteten som personen ansökt om senare, varför det föreskrivs om motsvarande användning av fotografi och namnteckning i 13 §. 

Paragrafens 4 mom. är ny i förhållande till den gällande lagen. Enligt 16 a § 1 mom. i den gällande lagen får polisen med stöd av 131 § i utlänningslagen använda fingeravtrycksuppgifter i polisens register för andra ändamål än de ursprungliga under samma förutsättningar som i fråga om fingeravtryck för pass. Det föreslås att användningen av fingeravtryck som registrerats med stöd av utlänningslagen ska utvidgas så att det är möjligt att använda fingeravtryck även för att förebygga, avslöja eller utreda terroristbrott och andra grova brott som avses i Eurodacförordningen. Bestämmelsen gäller utöver fingeravtryck också andra biometriska uppgifter som behandlas med stöd av 131 § i utlänningslagen och om vars behandling det inte separat föreskrivs i gällande lag. 

Villkoret för användningen av biometriska uppgifter är den nödvändighet som föreskrivs i 11 § 2 mom. i dataskyddslagen avseende brottmål, varför jämförelsen av fingeravtryck dessutom ska begränsas till motsvarande brott som jämförelse av fingeravtryck enligt Eurodacförordningen. Enligt artikel 20.1 i Eurodacförordningen är villkoret för jämförelse av fingeravtryck för brottsbekämpande ändamål att jämförelse för identifiering av den registrerade först görs i nationella databaser, i mån av möjlighet i fingeravtrycksdatabaser i andra medlemsstater i EU som är tillgängliga för tillämpningen av Prümbesluten samt i informationssystemet för viseringar (VIS). Av de nationella databaserna är det dock inte möjligt att med stöd av gällande lagstiftning använda polisens nationella register med fingeravtryck som registrerats med 131 § i utlänningslagen som grund för brottsbekämpning. Detta har ansetts vara ett problem med tanke på brottsbekämpningen. Problemet framträder i synnerhet vid bekämpning av terroristbrott och andra brott som samhälleligt sett medför betydande och allvarliga följder och i fråga om vilka utredningsintresset är stort och som det är synnerligen viktigt att förebygga. 

Identifieringsuppgifter för utlänningar behandlas med stöd av utlänningslagen som en del av polisens övervakning av utlänningar. Jämförelse av en utlännings fingeravtrycksuppgifter med fingeravtrycksuppgifterna bland signalementsuppgifterna i polisens informationssystem för polisärenden för kontroll av inreseförutsättningarna har gjorts möjligt i 131 § i utlänningslagen till den del som de registrerade signalementsuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. Den föreslagna utvidgningen till jämförelse av brottsförebyggande orsaker är betydande med tanke på skyddet för personlig integritet för de personer som registrerats med stöd av 131 § i utlänningslagen. I fråga om andra biometriska uppgifter än fingeravtryck begränsar förslaget dock behandlingsmöjligheterna så att de blir snävare än i den gällande lagen. Den föreslagna bestämmelsens förhållande till skyddet för personlig integritet enligt grundlagen och likställighetsprincipen bedöms närmare i avsnittet om propositionens förhållande till grundlagen och lagstiftningsordning. 

I 5 mom. begränsas behandlingen av uppgifter för kvalitetssäkring av DNA-prov till endast det ursprungliga ändamålet med behandlingen. Uppgifterna får dessutom behandlas för laglighetsövervakning, planering och utveckling samt för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 

Paragrafens 6 mom. avgränsar på samma sätt som i 16 § i den gällande lagen användningen av uppgifter i en skjutvapenanmälan enligt 114 § i skjutvapenlagen till endast uppgifter som gäller vapentillstånd. Med detta avses också, på motsvarande sätt som i 10 § i gällande lag, att uppgifter om en skjutvapenanmälan inte får framgå ur systemet förutom när vapentillstånd behandlas. 

15 §.Behandling av personuppgifter vid tillståndsprövning och tillsyn över tillstånd. I 1 mom. föreskrivs villkoren för att polisen ska få behandla personuppgifter som avses i 5, 6, 9, 11 och 12 § för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna när det behövs för skötseln av i 11 § förskrivna uppgifter i samband med tillståndsförvaltningen. Uppgifterna kan i enlighet med bestämmelsen användas för att besluta eller lämna utlåtande om beviljande eller giltighet av ett tillstånd, när tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av rusmedel, brottslighet eller våldsamma uppträdande. 

Bestämmelser om förutsättningar för beviljande eller giltighet av tillstånd finns i den speciallagstiftning som gäller tillståndsförvaltningen. Av betydelse med tanke på den föreslagna bestämmelsen är i synnerhet de villkor för beviljande eller giltighet av tillstånd som föreskrivs i skjutvapenlagen och lagen om privata säkerhetstjänster. 

De i 7 och 8 § avsedda personuppgifterna som får behandlas för förebyggande och avslöjande av brott samt de i 10 § avsedda personuppgifterna som får behandlas för kvalitetssäkring av DNA-prov avgränsas så att de står utanför den behandling som avses i 1 mom. Den föreslagna bestämmelsen motsvarar i sak 16 § 1 mom. 5 punkten i den gällande lagen. 

I 16 § 3 mom. i den gällande lagen föreskrivs att de observationsuppgifter som avses i 2 § 3 mom. 11 punkten och uppgifter i informationssystemet för misstänka enligt 4 §, i skyddspolisens funktionella informationssystem enligt 5 § eller i ett temporärt register enligt 6 § 2 mom. 2 punkten får inte användas för utförande av de uppdrag som avses i 16 § 1 mom. 5 punkten. Bestämmelser om utlämnande av personuppgifter som behandlas av skyddspolisen finns i fortsättningen i det föreslagna 7 kap. Det föreslagna 2 mom. är en ny bestämmelse. I momentet föreslås det att användningen av personuppgifter i anknytning till sådant förebyggande och avslöjande av brott som avses i 7 och 8 § utvidgas till skötseln av uppgifter som anknyter till tillståndsförvaltning. 

I de personuppgifter som anknyter till förebyggande och avslöjande av brott som avses i paragrafen ingår uppgifter som motsvarar uppgifterna i det informationssystem för misstänkta som avses i 4 § i den gällande lagen samt uppgifter i sådana tillfälliga register som avses i 6 § 2 mom. 2 punkten. Momentet gör det också möjligt att behandla andra i 7 och 8 § avsedda uppgifter i anknytning till förebyggande och avslöjande av brott för tillståndsförvaltningens syften när villkoren enligt 2 mom. uppfylls. Uppgifterna kan dock inte direkt användas i polisens tillståndsförvaltning, utan de kan behandlas i situationer som avses i 1 mom. endast via ett förfarande som motsvarar anmälningsförfarandet enligt 25 § 1 mom. i säkerhetsutredningslagen. 

Polisens tillståndsförvaltning har till uppgift att i och med det administrativa beslutsfattandet och genom olika övervakningsmetoder förebygga brott och störningar av den allmänna ordningen och säkerheten i ett samhälle där säkerhetsläget håller på att förändras (Polisens tillståndsförvaltningsstrategi 2017—2021). Polisens tillståndsförvaltning är en del av den administrativa brottsbekämpningen. Med administrativ brottsbekämpning avses intervenering i kriminella aktörers ekonomiska och övriga verksamhetsförutsättningar genom administrativa förfaranden. Syftet med det föreslagna förfarandet med utlåtande är att uppgifter som olika myndigheter har om brottslig verksamhet kan beaktas också vid administrativt beslutsfattande. På så sätt kan det säkerställas att man inte genom beslutsfattandet i tillståndsförvaltningen främjar verksamhetsförutsättningarna för organiserad brottslighet eller fortsatt brottslig verksamhet. 

I enlighet med villkoren i 2 mom. får centralkriminalpolisen göra en anmälan endera på eget initiativ eller efter att den ur registren för tillståndsförvaltning fått kännedom om en anhängig tillståndsansökan eller ett ärende som gäller återkallande av tillstånd. Anmälan får endast grunda sig på uppgifter om sådana personer som avses i 7 § 2 mom. En anmälan får inte göras utifrån i 7 § 3 mom. avsedda uppgifter om vittnen till brott, offer för brott eller målsäganden, i 7 § 5 mom. avsedda observationsuppgifter eller i 7 § 6 mom. avsedda uppgifter som behandlas för bedömning av om uppgifterna är av betydelse. 

Centralkriminalpolisen bedömer från fall till fall om det finns orsak att göra anmälan. Syftet med förfarandet är att i synnerhet skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljande eller giltighet av tillståndet mot att personer som deltar i organiserad kriminalitet eller misstänkts för sådan verksamhet på ett lagligt sätt kommer åt en tillståndspliktig uppgift med inverkan på säkerheten i samhället samt att skjutvapen kan skaffas på ett lagligt sätt i situationer förknippade med risk för allvarligt missbruk. Den föreslagna bestämmelsens förhållande till skyddet för personlig integritet enligt grundlagen och rättsskyddet bedöms i avsnittet om propositionens förhållande till grundlagen. 

3 kap. Rätt att få uppgifter

16 §.Polisens rätt att få uppgifter ur vissa register och informationssystem. Det föreslås att bestämmelserna i 1 mom. i huvudsak bevaras som i 13 § i den gällande lagen med undantag av vissa preciseringar och ändringar som föreslagits i hänvisningsbestämmelserna. I momentet föreslås en ny 14 punkt med bestämmelser om polisens rätt att få uppgifter ur Lantmäteriverkets bostadsdatasystem och fastighetsdatasystem. Genom tillägget beaktas polisens behov av att för att förhindra, förebygga och utreda brott få uppgifter ur det föreslagna bostadsdatasystemet (RP 127/2018 rd). Bestämmelsen kompletterar dessutom bestämmelsen om Lantmäteriverkets rätt med hjälp av en teknisk anslutning lämna ut uppgifter ur fastighetsdatasystemet till förundersökningsmyndigheter i 6 § i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002). 

Enligt 4 kap. 3 § 1 mom. i polislagen har polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet rätt att få information som behövs för att förhindra eller utreda brott. Samma rätt har polisen att få information som behövs vid polisundersökning enligt 6 kap., om ett viktigt allmänt eller enskilt intresse kräver det. I paragrafens 1 mom. motsvarar 15 punkten den genom lagändring 29/2015 i 13 § i den gällande lagen införda 16 punkten, som kompletterar polisens rätt att i enskilda fall få uppgifter om passagerare för förhindrande eller utredning av brott i enlighet med 4 kap. 3 § i polislagen. Rätten att få i punkten avsedda uppgifter om passagerare genom en teknisk anslutning eller som en datamängd gäller alla trafikidkare oberoende av trafikslag. Uppgifter som fåtts med stöd av punkten kan jämföras med andra personuppgifter som polisen behandlar på det sätt som beskrivs i regeringspropositionen RP 168/2014. Efter jämförelsen förstörs uppgifterna, om det inte finns sådana grunder för att registrera uppgifterna i något annat polisregister som med avseende på brottsbekämpningen uppfyller registreringsvillkoren i dessa register (RP 168/2014 rd, s. 7—8). 

För tydlighetens skull föreslås i 15 punkten om passageraruppgifter en informativ hänvisning till den föreslagna lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd), där det föreskrivs om polisens rätt att få uppgifter ur flygtrafikens passagerarregister. PNR-direktivet och dess föreslagna genomförandelag begränsar inte en sådan rätt att få information eller behandling av uppgifter som grundar sig på annan lagstiftning och inte heller utbytet av uppgifter om passagerare i utrikestrafiken, utan ålägger lufttrafikföretagen en preciserad skyldighet att lämna ut information. 

I 2 mom. föreskrivs på motsvarande sätt som i 13 § 3 mom. i den gällande lagen om polisens rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag. 

I 3 mom. föreskrivs en skyldighet för polisen att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av de personuppgifter polisen fått. Bestämmelsen motsvarar till denna del med undantag av en ändring av ordalydelsen 13 § 4 mom. i den gällande lagen. Paragrafen innehåller dock inte skyldighet för polisen i enlighet med 13 § 4 mom. i den gällande lagen att utan dröjsmål granska om uppgifterna behövs för det ändamål för vilket de har lämnats ut i det fallet att personuppgifter har lämnats ut utan begäran. Bestämmelser om den personuppgiftsansvariges skyldighet att behandla endast ändamålsenlig och behövliga personuppgifter samt skyldighet att radera onödiga personuppgifter utan obefogat dröjsmål finns i dataskyddsförordningen och dataskyddslagen avseende brottmål. 

Med stöd av sin rätt att få uppgifter får polisen med tanke på ändamålen med behandlingen enligt 2 kap. vid behov genom automatisk jämförelse klarlägga behovet av de personuppgifter som polisen fått. Obehövliga uppgifter ska i enlighet med 6 § i dataskyddslagen avseende brottmål raderas utan obefogat dröjsmål. 

Den föreslagna 16 § medför inte ovillkorlig rätt för polisen att få de i momentet avsedda uppgifterna, utan vid genomförandet av rätten att få information ska också andra villkor för utlämnande av uppgifter som föreskrivs någon annanstans i lag beaktas. 

17 §. Uppgifter som andra myndigheter lämnar ut till polisen genom registrering via direkt anslutning eller för registrering som en datamängd. I paragrafen föreskrivs om utlämnande av personuppgifter till polisen genom direkt anslutning eller som en datamängd. Förteckningen i 1 mom. motsvarar i huvudsak förteckningen i 14 § 1 mom. i den gällande lagen. 

I momentet införs som en ny 1 punkt skyddspolisen, vars informationsutbyte med andra polisenheter genom teknisk anslutning eller som en datamängd i fortsättningen grundar sig på bestämmelserna om utlämnade av information och rätt att få uppgifter i 3, 4 och 7 kap. i denna lag. Skyddspolisen får till polisens personregister lämna ut uppgifter som behövs för skötseln av andra polisenheters uppgifter också genom registrering vid direkt anslutning eller för registrering som en datamängd i enlighet med vad som avtalas med den personuppgiftsansvarige. I den gällande lagen finns inte någon motsvarande bestämmelse, eftersom de personregister som inrättats för polisens riksomfattande bruk enligt 15 § i den gällande lagen får användas av polisenheterna, med undantag av Polisyrkeshögskolan. Den föreslagna 1 punkten är en del av de ändringar som föreslås i lagförslaget, genom vilken skyddspolisens ändrade ställning som en polisenhet underlydande inrikesministeriet beaktas. Skyddspolisen får till polisens personregistergenom genom direkt anslutning eller som en datamängd lämna ut de personuppgifter som den också annars i enlighet med 7 kap. får lämna ut till polisen. 

I 2 punkten beaktas rätten för Rättsregistercentralen att till polisens personregister lämna ut uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor. Bestämmelser om behandlingen av dessa uppgifter finns i 47 a § i den gällande lagen. I sak motsvarar 2 punkten den gällande regleringen. 

I 2 mom. åläggs i överensstämmelse med 16 § en skyldighet att ge den personuppgiftsansvarige som lämnat personuppgifterna information om behandlingen av uppgifterna. Momentet motsvarar till denna del med undantag av en ändring av ordalydelsen bestämmelsen i 14 § 2 mom. i den gällande lagen. Paragrafen innehåller dock inte skyldighet för polisen i enlighet med 14 § 2 mom. i den gällande lagen att utan dröjsmål granska om uppgifterna behövs för det ändamål för vilket de har lämnats ut i det fallet att personuppgifter har lämnats ut utan begäran. Det föreskrivs om den personuppgiftsansvariges skyldighet att behandla endast adekvata och behövliga personuppgifter samt om skyldigheten att obehövliga personuppgifter ska raderas utan obefogat dröjsmål i dataskyddsförordningen och dataskyddslagen avseende brottmål. 

18 §.Europeiska unionens informationssystem för viseringar. I paragrafen förskrivs om rätten att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar. Paragrafens 1 mom. gäller mottagande av uppgifter för utförande av en uppgift enligt utlänningslagen. Paragrafens 2 mom. gäller polisens rätt att få uppgifter i syfte att utreda terroristbrott och andra allvarliga brott. Bestämmelserna är informativa till sin karaktär och motsvarar till sitt innehåll 42 § i den gällande lagen. 

19 §.Vite. Genom bestämmelsen ersätts regleringen i 13 § 2 mom. i den gällande lagen, enligt vilken polisen kan ålägga samfund och sammanslutningar att inom en rimlig tid lämna uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott, för överlämnande till åtalsprövning samt för att nå efterlysta personer. Polisen har på samma sätt som enligt 13 § 1 mom. i den gällande lagen befogenhet att i enlighet med villkoren i paragrafen förena åläggandet med vite. 

Bestämmelser om vite tillämpas inte på passageraruppgifter som avses i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (RP 55/2018 rd). För brott mot skyldigheten att överföra PNR-uppgifter påförs en påföljdsavgift i enlighet med bestämmelserna i den föreslagna lagen. 

20 §.Behandling av personuppgifter som erhållits i internationellt samarbete. Innehållet i bestämmelsen motsvarar i delvis 31 § i den gällande lagen. Det föreslås att 31 § 3—5 mom. i den gällande lagen dock slopas som obehövliga, eftersom de i momenten föreskrivna kraven ingår i dataskyddslagen avseende brottmål. Den föreslagna 20 § gäller enbart behandling av personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet. 

I 1 mom. föreskrivs, på samma sätt som i 31 § 1 mom. i den gällande lagen, om sekretess och tystnadsplikt samt om skyldighet att iaktta de begränsningar i fråga om användningen av personuppgifterna som den som lämnat ut uppgifterna ställt. Huvudregeln i momentet har till syfte att säkerställa förtroendet inom internationellt samarbete. I 2 mom. föreskrivs om möjligheten att använda de mottagna personuppgifterna för andra ändamål än det ursprungliga när inga sådana begräsningar som avses i 1 mom. har meddelats. Den strängare bestämmelsen om användningen av uppgifter för andra ändamål med behandlingen än det ursprungliga som finns i 31 § 2 mom. i den gällande lagen grundar sig på EU:s upphävda dataskyddsrambeslut och gäller alla personuppgifter som fåtts från andra stater eller internationella organ, även behandlingen av personuppgifter som fåtts från andra EU-stater. Det föreslås att momentet justeras så att personuppgifter som fåtts från ett tredjeland eller en internationell organisation eller myndighet får behandlas för andra ändamål med behandlingen än det ursprungliga under de förutsättningar som föreslås i 13 § 1 mom. På behandlingen av personuppgifter som fåtts från en annan EU-stat i situationer som avses i 31 § 2 mom. i den gällande lagen tillämpas i framtiden dataskyddslagen avseende brottmål. 

4 kap. Utlämnande av personuppgifter

I kapitlet föreskrivs om sådant utlämnande av personuppgifter till andra myndigheter som sker med hjälp av teknisk anslutning eller som en datamängd, utlämnande av uppgifter via det allmänna datanätet samt utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster. I kapitlet ingår också bestämmelser i anknytning till internationellt informationsutbyte. 

Till den del det är fråga om behandling som hör till tillämpningsområdet för dataskyddsdirektivet och direktivets genomförandelag tillämpas som allmän författning 7 kap. i dataskyddslagen avseende brottmål på utlämnande av personuppgifter till tredjeländer och internationella organisationer. Det föreslagna 4 kap. innehåller de behövliga kompletterande bestämmelserna i fråga om utlämnande av uppgifter till tredjeländer och internationella organisationer. I kapitlet föreskrivs också om utlämnande av uppgifter till brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Dessutom beaktas i kapitlet på samma sätt som i 6 kap. i den gällande lagen de datasystem som gäller i hela EU som de brottsbekämpande myndigheterna kan använda sig av. I fråga om bestämmelserna om utlämnande av personuppgifter i anknytning till internationellt polissamarbete föreslås inga betydande ändringar i innehållet jämfört med de reformerade bestämmelserna i den gällande lagen som trädde i kraft genom lagändringen 2013. 

Det föreslagna 4 kap. innehåller också bestämmelser om utlämnande av personuppgifter inom tillämpningsområdet för dataskyddsförordningen. Till denna del gäller regleringen de särskilda bestämmelser som avses i artikel 6 genom vilka tillämpningen av bestämmelserna i förordningen anpassas. De särskilda bestämmelserna kan enligt artikel 6 gälla också utlämnandet av personuppgifter. 

Personuppgifter kan enligt bestämmelserna i 4 kap. lämnas ut trots sekretessbestämmelserna. När uppgifter lämnas ut ska dock i alla situationer beaktas de bestämmelser som gäller skyddet för personuppgifter. På utlämnandet av personuppgifter i enskilda fall (annars än genom en teknisk anslutning eller som en datamängd) ska på samma sätt som nu tillämpas sekretessbestämmelserna i 7 kap. i polislagen samt kompletterande lagstiftningen om personuppgifter när det gäller utlämnande av personuppgifter till tredjeland eller internationella organisationer. 

21 §.Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål. I paragrafen föreskrivs om utlämnande av personuppgifter till en i dataskyddslagen avseende brottmål avsedd behörig myndighet för sådana ändamål med behandlingen som ingår i den nämnda lagens tillämpningsområde. Dataskyddslagen avseende brottmål ska i enlighet med 1 § 1 i den nämnda lagen tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åtalsprövning och annan åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten i samband med annan verksamhet än sådan som avses i 1 § 1 mom. 

Lagen ska tillämpas utifrån den nationella lösningen i enlighet med dess 1 § 2 mom. också när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. 

Till de behöriga myndigheter som avses i paragrafen hör skyddspolisen, till vilken uppgifter kan lämnas ut för det ändamål som föreskrivs i 48 §, dvs. för skötseln av skyddspolisens lagstadgade uppgifter. I de personuppgifter som får lämnas ut ingår personuppgifter som behandlas för de uppgifter som avses i 1 kap. 1 § 1 mom. i polislagen, för vilkas del det är fråga om utlämnande av uppgifter för ett ändamål med behandlingen som motsvarar det ursprungliga. Exempelvis i fråga om identifieringsuppgifter för utlänningar som registreras i polisens register med stöd av 131 § i utlänningslagen är det fråga om utlämnade av uppgifter för det ursprungliga ändamålet med behandlingen uppgifterna som definieras i utlänningslagen. Dessutom får till skyddspolisen med stöd av bestämmelsen också lämnas ut andra personuppgifter som behandlas för skötseln av polisens övriga uppgifter, t.ex. uppgifter i anknytning till tillståndsförvaltning. Trots att skyddspolisen inte längre är en enhet under Polisstyrelsen är den fortfarande en polisenhet och dess rättighet att behandla de personuppgifter som ingår i polisens register måste tryggas. Skyddspolisens behov av samarbete med den övriga polisen för att skydda den nationella säkerheten har i den befintliga säkerhetspolitiska miljön ytterligare betonats. 

I paragrafen beaktas dessutom utlämnande av personuppgifter till Tullen och Gränsbevakningsväsendet för behandlingsändamål som gäller att förebygga, avslöja och utreda brott samt föra brott till åtalsprövning på det sätt som avses i 1 § 1 mom. i dataskyddslagen avseende brottmål. 

Bestämmelsen gör det också möjligt att lämna ut personuppgifter till Gränsbevakningsväsendet i situationer som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. Uppgifter kan därmed lämnas till Gränsbevakningsväsendet också för uppdrag som avses i 3 § 2 och 3 mom. i gränsbevakningslagen, vilka anknyter till skyddet av den nationella säkerheten. På motsvarande sätt får personuppgifter lämnas ut också till Försvarsmakten samt för ändamål med behandlingen som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål. Till Försvarsmakten får uppgifter lämnas ut i synnerhet för förordnande av en värnpliktig till utbildning och en uppgift samt för anordnade av tjänstgöring, förordnande till krishanteringsuppdrag och anordnande av krishanteringstjänstgöring, skötsel av uppdrag inom militär underrättelseinhämtning, skötsel av territorialövervakningsuppgifter, skötsel av sådana förundersökningsuppgifter och uppgifter för förebyggande och avslöjande av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt för befordran till militär grad och belöning. 

I momentet beaktas dessutom övriga behöriga myndigheter som omfattas av tillämpningsområdet för direktivets genomförandelag. I fråga om dessa myndigheter får personuppgifter lämnas ut för ändamål som föreskrivs i 1 § 1 mom. dataskyddslagen avseende brottmål. Till denna del motsvarar situationerna med utlämnande av uppgifter i huvudsak 19 § 12 och 14 punkten i den gällande lagen. 

Personuppgifter får lämnas ut genom en teknisk anslutning eller som en datamängd till de myndigheter som avses i paragrafen. I de situationer som avses i paragrafen är utlämning av uppgifter genom en teknisk anslutning i praktiken huvudregel. Bestämmelsen är ny och mer allmänt formulerad än den gällande lagen, men i praktiken innebär den inga förändringar jämfört med nuläget. 

Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas i enlighet med den tröskel för behandling som föreskrivs i 11 § endast om det är nödvändigt med tanke på ändamålet med behandlingen. 

22 §.Övrigt utlämnande av personuppgifter till myndigheter. I paragrafen föreskrivs om utlämnande av personuppgifter genom en teknisk anslutning eller som en datamängd för andra ändamål med behandlingen än de som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Paragrafen innehåller bestämmelser om lämnande av personuppgifter till de behöriga myndigheter som avses i dataskyddslagen avseende brottmål för sådana ändamål med behandlingen på vilka den nämnda lagen inte tillämpas. 

I 1 mom. räknas de myndigheter upp till vilka polisen får lämna ut personuppgifter genom en teknisk anslutning. I momentet föreskrivs också om de ändamål med behandlingen av personuppgifter för vilka personuppgifter får lämnas ut. Bestämmelserna motsvarar till sitt innehåll i huvudsak 19 § i den gällande lagen, med undantag för vissa preciseringar. 

Förteckningen i det föreslagna 1 mom. är inte uttömmande och begränsar inte tillämpningen av bestämmelser någon annanstans i lag i fråga om utlämnande av eller rätt att få uppgifter. Rätten att lämna ut uppgifter i enlighet med paragrafen kräver å andra sidan heller inte att det i lagstiftningen för den mottagande myndigheten föreskrivs om motsvarande rätt att få information, utan uppgifter kan lämnas ut med stöd av den föreslagna 22 § också utan att det någon annanstans i lag har föreskrivits om rätt för mottagaren att få uppgifter. När polisen lämnar ut eller får personuppgifter genom en teknisk anslutning ska det dock, i enlighet med grundlagsutskottets ställningstaganden, alltid föreskrivas om detta i lag. 

När uppgifter lämnas ut ska det alltid bedömas vilka uppgifter som behövs för skötseln av mottagarens lagstadgade uppgifter och om hanteringen av de uppgifter som ska lämnas ut eventuellt är föremål för begräsningar i enlighet med bestämmelser någon annanstans i lag. Paragrafen möjliggör alltså inte ett obegränsat utlämnande av alla personuppgifter som polisen behandlar för vilket ändamål med behandlingen som helst som nämns i paragrafen. 

På utlämnande av personuppgifter till andra myndigheter i enskilda fall (annat än genom en teknisk anslutning eller som datamängd) tillämpas också i framtiden i stället för första lagförslaget bestämmelserna om utlämnande av sekretessbelagd information till myndigheter eller sammanslutningar som sköter offentliga uppdrag i 7 kap. 2 § i polislagen. Offentliga uppgifter får dessutom lämnas ut till andra myndigheter också som datamängd även i andra fall än de som avses i 22 § 1 mom. Också vid situationer med sådant utlämnande ska dock bestämmelserna om skydd för personuppgifter beaktas. 

I 2 mom. ingår en begränsningsbestämmelse, med stöd av vilken biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen trots sekretessbestämmelserna får lämnas ut endast till vissa myndigheter som avses i momentet för styrkande av identitet och konstaterande av ett dokuments äkthet, när det behövs för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa. Bestämmelsen motsvarar begräsningen om utlämnande av fingeravtrycksuppgifter i pass i 19 § 2 mom. i den gällande lagen, men den utvidgas till att gälla också andra biometriska uppgifter i lagen om identitetskort och passlagen. Begränsningen gäller inte t.ex. utlämnande av ansiktsbild i situationer då uppgifterna inte behandlas i biometrisk form. 

I paragrafens 3 mom. föreskrivs om en högre tröskel för utlämnande av uppgifter som hör till särskilda kategorier av personuppgifter. Uppgifter får endast lämnas ut när det är nödvändigt för att genomföra en uppgift som myndigheten enligt lag ska sköta. 

I 4 mom. föreskrivs om skyldigheten för mottagaren av personuppgifterna att för den personuppgiftsansvarige lägga fram en tillförlitlig utredning om att de skyddas på behörigt sätt. 

I 5 mom. föreskrivs att kvaliteten på de uppgifter som lämnas ut om möjligt ska bekräftas och uppgifterna vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Mottagaren ska utan dröjsmål meddelas också om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag. Med kraven strävar man efter att garantera möjligheterna för både den personuppgiftsansvarige och den som tar emot informationen att personuppgifterna behandlas på det sätt som dataskyddslagstiftningen kräver. När uppgifter lämnas ut ska den personuppgiftsansvarige även ta hänsyn till de särskilda villkoren för behandling av personuppgifter, som grundar sig på dataskyddslagen avseende brottmål eller dataskyddsförordningen. Dessa är bl. a. begräsningar i fråga om användningen av personuppgifter som fåtts från en annan myndighet eller stat och om vilka det ska göras en anteckning. 

23 §.Utlämnande av personuppgifter via det allmänna datanätet. I paragrafen föreskrivs om polisens rätt att lämna ut personuppgifter via det allmänna datanätet. Uppgifterna kan trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet lämnas vid de situationer som avses i den föreslagna paragrafen. 

Paragrafens 1 mom. är i förhållande till den gällande lagen en ny paragraf. Med stöd av den föreslagna bestämmelsen får polisen för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås via det allmänna datanätet lämna ut personuppgifter i situationer när uppgifterna behövs för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med utredningen. Jämfört med 19 § i den gällande lagen får uppgifter lämnas ut i fler situationer, men sättet som uppgifterna lämnas ut på avgränsas på motsvarande sätt som i fråga om garantin för privatlivet till enskilda sökningar. Polisen får lämna ut personuppgifter med stöd av 1 mom. endast så att uppgifterna kan sökas via en tjänst i det allmänna datanätet i enlighet med på förhand definierade sökvillkor. 

Med stöd av bestämmelsen kan t.ex. uppgifter om huruvida viss egendom har anmälts stulen lämnas ut på polisens webbplats. Möjligheten att kontrollera stulen egendom ur på förhand fastställda egendomskategorier, bl.a. cyklar, betjänar medborgarna och förhindrar att stulen egendom säljs, vilket inverkar på själva brottsvolymen. Grundlagsutskottet har i sina utlåtanden (GrUU 2/2017 och de utlåtanden som nämns där) tolkat avgränsningen till enskilda sökningar som ett ändamålsenligt sätt att skydda utlämnandet av uppgifter via det allmänna datanätet. 

I 2 mom. föreskrivs om polisens rätt att annat än som enskilda sökningar lämna personuppgifter via det allmänna datanätet för att allmänheten ska kunna underrättas och tips från allmänheten ska kunna fås. Syftet med bestämmelsen är att göra information om brott möjlig på polisens webbplats på motsvarande sätt som i 19 a § i den gällande lagen. Via det allmänna datanätet får utlämnas endast personuppgifter som motsvarar de uppgifter om informationsförmedling som avses i 2 § 3 mom. 8 punkten och som måste tillkännages särskilt på grund av grund av att saken är brådskande, att det är fråga om en farosituation, för att brott ska kunna förebyggas, egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Utlämnandet av uppgifterna har begränsats snävare än i 1 mom., eftersom det utlämnade av uppgifter som görs med stöd av momentet inte föreslås vara begränsat till enskilda sökningar. Med stöd av momentet kan t.ex. uppgifter om försvunna personer eller okända avlidna samt uppgifter som sådana brott som man särskilt behöver informera om lämnas ut. Personuppgifter som lämnas ut via det allmänna datanätet ska dock begränsas så långt det är möjligt. 

24 §.Utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster. Bestämmelsen är ny. I paragrafen föreskrivs om utlämnade av personuppgifter i anslutning till giltighet av tillstånd en privat sammanslutning eller en näringsidkare, om uppgifterna är nödvändiga för utförande av en uppgift som i lag föreskrivs för sammanslutningen eller näringsidkaren i fråga. I tillstånd ingår alla tillstånd och godkännanden, inklusive resedokument, i fråga om vilka polisen behandlar uppgifterna för de ändamål som föreskrivs i 11 §. Sättet för utlämnandet av uppgifterna avgränsas så att uppgifterna endast fås som enskilda sökningar. Grundlagsutskottet har tolkat denna avgränsning som ett ändamålsenligt sätt att skydda utlämnande av uppgifter via det allmänna datanätet. I paragrafen är det inte fråga om att lämna ut uppgifter till allmänheten utan att via en e-tjänst lämna ut uppgifter till en grupp mottagare som begränsas med hjälp av kontroll av användarrättigheterna. Den föreslagna avgränsningen till enskilda sökningar fungerar som en garant för skyddet av uppgifterna och en skyddsåtgärd som säkerställer att skyddet för personlig integritet tillgodoses. 

De privat sammanslutning eller en näringsidkare som är mottagare av uppgifterna definieras inte i paragrafen, utan mottagarna avgränsas utifrån de uppgifter som föreskrivs någon annanstans i lag. Behovet av att kontrollera tillstånds giltighetstid anknyter i huvudsak till situationer då den som tar emot uppgifterna kontrollerar ett tillstånds giltighet vid skötseln av ett ärende som sker på den registrerades initiativ. 

Uppgifter kan lämnas ut med stöd av paragrafen t.ex. till en vapennäringsidkare för att uppfylla anmälningsskyldigheten enligt 42 c § i skjutvapenlagen. Vapennäringsidkaren kompletterar ett tillstånd med identifieringsuppgifter för ett vapen eller en vapendel via den elektroniska tjänsten, om vapnet eller vapendelen köps av en vapennäringsidkare i enlighet med 20 § i skjutvapenlagen. I samband med överlåtelsen meddelar vapennäringsidkaren genom att använda stark autentisering identifieringsuppgifterna till polisens vapenregistersystem med hjälp av den elektroniska tjänsten. De vapen, vapendelar och effektiva luftvapen som vapennäringsidkaren har är antecknade i polisens vapenregistersystem och genom den elektroniska anmälan som görs om överlåtelsen av dem överförs identifieringsuppgifterna till förvärvarens vapentillstånd. I samband med den elektroniska anmälan kompletterar vapennäringsidkaren tillståndets uppgifter med skjutvapnets eller vapendelens identifieringsuppgifter (RP 266/2016 rd, s. 41). 

Till de situationer som avses i paragrafen hör också utlämnande av sådan information om giltighet för pass eller identitetskort till leverantörer av identifieringstjänster som föreskrivs i 7 b § i lagen om stark autentisering och betrodda elektroniska tjänster. Paragrafen gör det möjligt att lämna ut uppgifter också i andra situationer där det är nödvändigt att kontrollera giltigheten för ett tillstånd på grund av skötseln av uppgifter som föreskrivits för en privat sammanslutning eller enskild person. Den personuppgiftsansvarige har alltid prövningsrätt och paragrafen innebär därför inte någon skyldighet för polisen att lämna ut personuppgifter. 

25 §.Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet. I paragrafens 1 mom. beaktas den s.k. tillgänglighetsprincipen för uppgifter, enligt vilken personuppgifter och andra uppgifter ska vara tillgängliga för de brottsbekämpande myndigheterna i andra medlemsstater i EU och stater som hör till Europeiska ekonomiska samarbetsområdet på samma villkor som de är tillgängliga för polisen för förebyggande, avslöjande och utredning av brott. 

I 2 mom. föreskrivs om utlämnande av personuppgifter till Eurojust som inrättats för att stärka kampen mot grov brottslighet och till andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt. Till sådana andra institutioner som avses i momentet hör utöver Eurojust också t.ex. Europeiska byrån för bedrägeribekämpning. 

I 3 mom. preciseras att uppgifterna i de situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 

Innehållsmässigt motsvarar bestämmelsen i huvudsak 29 § i den gällande lagen. I den gällande lagen är utlämnande av uppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater stater och som hör till Europeiska ekonomiska samarbetsområdet emellertid till vissa delar strängare begränsat än polisens möjligheter att behandla personuppgifter för andra ändamål med behandlingen än det ursprungliga. Uppgifter får därmed med stöd av den föreslagna bestämmelsen i vissa situationer lämnas ut i en vidare omfattning än enligt den gällande regleringen. Utvidgningen gäller t.ex. utlämnande av personuppgifter som samlats in för skötseln av de uppgifter som föreskrivs i 1 kap. 1 § 2 mom. i polislagen. En mer omfattande möjlighet att lämna ut uppgifter innebär på grund av tillgänglighetsprincipen också större möjligheter för polisen att behandla uppgifterna för andra ändamål än de ursprungliga, som det föreslås i 13—15 §. Uppgifterna får lämnas ut också som en datamängd. Polismyndigheterna i EU:s medlemsstater använder en skyddad kanal för informationsutbytet. 

I 4 mom. ingår en informativ hänvisning till lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet för att säkerställa att rambeslutet har genomförts korrekt i fråga om utlämnandet av personuppgifter. Lagen om genomförande av rambeslutet är en specialförfattning i förhållande till lagförslaget. 

26 §.Utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem. I paragrafen föreskrivs om utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem. Bestämmelsen är informativ och motsvarar 35 § i den gällande lagen. 

27 §.Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem. I paragrafen föreskrivs om polisens rätt att lämna ut personuppgifter till behöriga myndigheter i Schengenstater och för registrering i Schengens informationssystem. Bestämmelsen är av informativ karaktär och motsvarar för polisens del 36 § i den gällande lagen, där det föreskrivs om rätten för alla behöriga Schengenmyndigheter att lämna ut uppgifter. Med beaktande av lagens tillämpningsområde avgränsas bestämmelsen dock så att den gäller endast polisens rätt att lämna ut uppgifter. 

I paragrafen föreslås det dessutom att tilläggsinformationen ska lämnas ut genom förmedling av centralkriminalpolisen som fungerar som Sirenekontor. Centralkriminalpolisens roll som det Sirenekontor som avses i författningsgrunden för Schengens informationssystem har beaktats i den gällande lagen i 32 § om definitionerna i anknytning till internationellt samarbete. 

28 §.Utlämnande av personuppgifter till Europol. Paragrafen innehåller en informativ hänvisning till Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning, som kompletterar förordningen. 

29 §.Utlämnande av personuppgifter till Eurodacsystemet. Paragrafen motsvarar 39 § i den gällande lagen, som är en informativ bestämmelse, men rättsaktshänvisningarna uppdateras så att de motsvarar ändringarna i EU-lagstiftningen. Det i rådets förordning (EG) nr 2725/2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen avsedda Eurodacsystemets användningsändamål i fråga om uppgifterna utvidgades genom Europaparlamentets och rådets förordning (EU) nr 603/2013 (Eurodacförordningen), som började tillämpas den 20 juli 2015. Förordningen gör det möjligt att använda fingeravtryck registrerade i Eurodacsystemet för brottsbekämpande ändamål vid bekämpning av terroristbrott och andra allvarliga brott. I paragrafen föreslås dessutom en bestämmelse om att centralkriminalpolisen är den nationella den utsedda myndigheten för brottsbekämpande ändamål som avses i artikel 5.1 i Eurodacförordningen. 

30 §.Utlämnande av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet. Genom bestämmelsen genomförs bestämmelserna i Prümfördraget och Prümrådsbeslutet till den del det gäller utlämnande av personuppgifter i anslutning till utredning av brott med stöd av dessa. 

I paragrafens 1 mom. föreskrivs om en s.k. sökträff i anknytning till DNA-uppgifter, fingeravtryckuppgifter och fordonsregisteruppgifter. I fråga om dessa uppgifter använder medlemsstaterna i EU ett decentraliserat system där polisen kan söka träffar i referensuppgifterna i det aktuella registret i en annan medlemsstat. 

I 2 mom. föreslås en informativ bestämmelse som preciserar de bestämmelser som ska tillämpas på utbytet av personuppgifter efter en i 1 mom. avsedd träff. Bestämmelsen är ny och syftet med den är att göra förhållandet mellan Prümfördraget och annan lagstiftning tydligare. Enligt rådets beslut 2008/615/RIF får de brottsbekämpande myndigheterna i medlemsstaterna avgöra förfarandet och kanalen för informationsutbytet, varför en precisering av dem genom en hänvisningsbestämmelse på lagnivå är ändamålsenlig. Syftet är att på detta sätt garantera ett effektivt genomförande av både Prümfördraget och Prümrådsbeslutet samt av rådets rambeslut 2006/960/RIF. 

Den informativa bestämmelsen om behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet i 40 § i den gällande lagen föreslås i fråga om utplåning av logguppgifter och övervakningsuppgifter bli flyttad till 5 kap. och bestämmelsen om den registrerades granskningsrätt föreslås bli beaktad i 6 kap. 

31 §.Övrigt utlämnande av personuppgifter till utlandet. På utlämnande av personuppgifter till tredjeländer och internationella organisationer tillämpas bestämmelserna i kapitel V i dataskyddsförordningen samt i 7 kap. i dataskyddslagen avseende brottmål. Paragrafen innehåller dock vissa preciserande bestämmelser om utlämnande av uppgifter till utlandet. 

I 1 mom. finns en bestämmelse i fråga om personuppgifter som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål, som ger polisen rätt att trots sekretessbestämmelserna lämna ut personuppgifter. 

I 2 och 3 mom. föreskrivs dessutom kompletterande om vissa specialsituationer i anslutning till visst utlämnande av personuppgifter. 

Enligt 2 mom. 1 punkten får polisen lämna ut personuppgifter till de behöriga myndigheter som avses i internationella avtal eller andra arrangemang som gäller återtagande av personer som olagligen kommit in och vistas i landet för utförande av de uppgifter som avses i de internationella avtalen eller arrangemangen. Punkten motsvarar i huvudsak 30 § 4 mom. i den gällande lagen. Till punkten fogas också ett omnämnande om andra arrangemang för återtagande för situationer när en person återsänds till en stat med vilken Finland inte har en överenskommelse om återtagande. 

I 2 punkten föreskrivs om utlämnande av nödvändiga personuppgifter till de myndigheter som ansvarar för vapentillsynen i en annan stat. Bestämmelsen motsvarar 30 § 3 mom. i den gällande lagen, men gäller också utlämnande av uppgifter till myndigheterna i EU:s medlemsstater. Bestämmelsen inbegriper också sådant utbyte av information som avses i artikel 13.4 i Europaparlamentets och rådets direktiv (EU) 2017/853 om ändring av rådets direktiv 91/477/EEG om kontroll av förvärv och innehav av vapen (nedan vapendirektivet). Enligt artikel 13.4 i vapendirektivet ska medlemsstaternas behöriga myndigheter på elektronisk väg utbyta information om tillstånd som beviljats för överföring av skjutvapen till en annan medlemsstat samt information om avslag på ansökningar om tillstånd av säkerhetsskäl eller med avseende på den berörda personens pålitlighet. 

I 3 mom. finns en begränsningsbestämmelse som gäller utlämnande av biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen. Bestämmelsen motsvarar till sitt innehåll 30 § 3 mom. i den gällande lagen, som gäller utlämnande av fingeravtrycksuppgifter i pass, men bestämmelsen utvidgas att utöver fingeravtryck också gälla biometriska uppgifter. Uppgifterna får lämnas ut endast för de ändamål som föreskrivs i 14 § 2 mom. Genom den föreslagna bestämmelsen beaktas de strängare krav på behandling av biometriska uppgifter som ställs i EU:s dataskyddslagstiftning. 

I 4 mom. preciseras att uppgifterna i situationer som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 

32 §.Beslut om utlämnande av uppgifter. I paragrafen föreskrivs det om beslut som gäller rätten att lämna ut uppgifter ur polisens personregister som en datamängd eller genom en teknisk anslutning samt om rätten för de myndigheter som avses i 3 kap. att på detta sätt lämna ut personuppgifter till polisens informationssystem (1 mom.). 

När uppgifter lämnas ut genom en teknisk anslutning är det svårare för den personuppgiftsansvarige att övervaka hur personuppgifterna skyddas och används. Avtal om utlämnande av uppgifter genom en teknisk anslutning ska liksom nu alltid göras upp särskilt mellan den personuppgiftsansvarige och den som lämnar ut eller tar emot uppgifter. Bestämmelserna i det föreslagna 4 kap. medför på så sätt inte i sig exempelvis rätt för en mottagare att få polisens personuppgifter genom en teknisk anslutning utan ett särskilt beslut. Beslutet om utlämnandet av uppgifter ska fattas av den personuppgiftsansvarige eller den polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. Den personuppgiftsansvarige kan i varje enskilt fall separat bedöma om det är motiverat att öppna den tekniska anslutningen. 

Enligt 2 mom. ska uppgifternas art beaktas på samma sätt som enligt 20 § 2 mom. i den gällande lagen, när beslut om utlämnande fattas. 

5 kap. Radering och arkivering av personuppgifter

Enligt artikel 5.1 e i dataskyddsförordningen och artikel 4.1 e i dataskyddsdirektivet får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I kapitlet föreskrivs om de maximala bevaringstiderna för personuppgifter. Bestämmelserna i kapitlet begränsar inte tillämpningen av bestämmelser om radering av uppgifter eller bedömning av behövlighet någon annanstans i lag, utan de raderingstider som nämns i kapitlet ska iakttas ifall inte någon annan bestämmelse förutsätter att uppgifterna ska raderas redan tidigare. 

33 §.Radering av personuppgifter som anknyter till brottmål. Genom paragrafen ersätts de bestämmelser i 22 § i den gällande lagen som gäller utplåning av uppgifter som anknyter till förundersökning av brott och signalementsuppgifter. Det föreslås inga stora ändringar i förvaringstiderna för personuppgifter jämfört med lagändringen 2013. Det föreslås dock att bestämmelserna om radering av uppgifter ytterligare ska förenklas och förtydligas. I förslaget har också beaktats de ändringsbehov som den nya dataskyddslagstiftningen kräver. 

Utöver radering av uppgifter om brottsanmälningar och signalementsuppgifter föreskrivs i den föreslagna 33 § även om radering av andra personuppgifter som anknyter till brottmål. Med personuppgifter som anknyter till brottmål avses alla personuppgifter som inhämtats för förundersökningsändamål och för vilka det är ändamålsenligt att ha raderingstider som överensstämmer med raderingstiderna för uppgifter som gäller brottsanmälningar. Exempelvis efterlysningsuppgifter i anslutning till undersökningssyften samt uppgifter om informationsförmedling som behandlas för att allmänheten ska kunna underrättas och för att tips från allmänheten ska kunna fås får eller för att rikta undersökningsmyndigheters övervakning ska framöver raderas med iakttagande av bevaringstiden för det brottmål till vilket uppgifterna ansluter sig. Bevaringstiderna ska alltjämt vara beroende av hur grov gärningen är. I bestämmelsen beaktas även att minderåriga som gjort sig skyldiga till brott är i en mera sårbar ställning. 

Enligt paragrafens 1 mom. ska uppgifterna i ett brottmål raderas 5 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller till ett fängelsestraff på högst ett år, 10 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst fem år och 20 år efter att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. Med de föreslagna bevaringstiderna ska man, på samma sätt som enligt den gällande lagen, se till att uppgifterna bevaras i polisens informationssystem minst den tid det tar att behandla ärendet och nå en lagakraftvunnen lösning inom rättsväsendet. Bevaringstiden avkortas från 10 till 5 år i fråga om sådana brottmål som överförts till åklagaren där det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på högst ett år. Den kortare bevaringstiden bedöms vara tillräcklig för att säkerställa att uppgifterna bevaras fram till ett lagakraftvunnet avgörande. 

De uppgifter som avses i 1 mom. raderas enligt 2 mom. dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. Med detta säkerställs, på motsvarande sätt som i dagsläget, att uppgifter som anknyter till mordutredningar förblir tillgängliga för polisen. 

Uppgifter i övriga brottmål ska enligt 3 mom. raderas ett år efter att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter att brottmålet registrerades. En bevaringstid på minst fem år motsvarar preskriptionstiden för åtalsrätten för tjänstebrott och behövs för att garantera både målsägandens och polisens rättsskydd. 

I 4 mom. föreskrivs om radering av signalementsuppgifter som har registrerats för att identifiera personer misstänkta för brott, utreda brott och registrera personer som har begått brott. Uppgifterna ska raderas senast 10 år efter att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. Genom de föreslagna ändringarna förkortas de raderingstider som anges i den gällande lagen avsevärt när det gäller lindrigare brottmål. Det ska inte längre finnas särskilda bestämmelser om radering av registrerade spår från en okänd gärningsman i anslutning till ett brott som förblivit oidentifierade, utan uppgifterna ska i överensstämmelse med den raderingstid som föreskrivs i 2 mom. raderas ett år efter att åtalsrätten för brottet har preskriberats. 

I 5 mom. beaktas minderåriga som misstänks för en brottslig gärning. Syftet med momentet är att säkerställa att barnets bästa beaktas i enlighet med barnkonventionen. Enligt 22 § 2 mom. i den gällande lagen ska uppgifter om en registrerad som var under 15 år då han eller hon begick brottet utplånas när den registrerade fyller 18 år, om inte den registrerade har gjort sig skyldig till ett brott efter att ha fyllt 15 år. Uppgifterna ska dock inte utplånas på denna grund om anmälan även gäller andra misstänkta för brottet och uppgifterna om dem ännu inte utplånas eller om någon av anteckningarna gäller en brottslig gärning för vilken inte föreskrivs någon annan påföljd än fängelse. Det har emellertid visat sig vara problematiskt att tillämpa denna bestämmelse på ett ändamålsenligt sätt. Betydelsen av den gällande raderingsbestämmelsen för skyddet av den registrerades personliga integritet är också liten på grund av att det i brottsanmälningar som gäller personer under 15 år ofta också har antecknats andra personer och därför leder raderingsbestämmelsen i praktiken till att uppgifter raderas för endast en liten del av de registrerade som är under 15 år. 

Enligt det föreslagna 5 mom. ska signalementsuppgifterna för registrerade personer under 15 år raderas senast 5 år efter att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket det inte föreskrivs någon annan påföljd än fängelse. I annat fall raderas uppgifterna om registrerade personer under 15 år i enlighet med de allmänna bestämmelserna i den föreslagna 33 §. Exempelvis ska en brottsanmälan där enbart en person under 15 år antecknats i enlighet med 2 mom. raderas fem år efter att brottmålet registrerades eftersom brottmålet inte ska överföras till en åklagare. 

För att trygga skyddet av personlig integritet finns en undantagsbestämmelse i 6 mom., enligt vilken de signalementsuppgifter som behövs för att fastställa identiteten raderas senast ett år efter att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 

Enligt 7 mom. får alla de uppgifter som avses i 1—5 mom. dock fortfarande bevaras, om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Det är alltså möjligt att bevara uppgifter t.ex. medan en undersökning av ett tjänstebrott ännu pågår. Det kan också finnas behov av att förlänga efterlysningstiden för t.ex. fordon för att det ska vara möjligt att returnera egendomen till ägaren. I princip avgör undersökningsledaren utifrån fordonets skick, ålder, värde eller antikvärde och brottsbenämningen hur länge en efterlysning ska vara i kraft. Bevaringstiden för efterlysningar för gamla fordon i dåligt skick ska normalt vara samma som för det brottmål som saken gäller. Äganderätten till ett fordon kvarstår dock hos ägaren trots att brottet preskriberas eller någon får egendomen i sin besittning genom att t.ex. köpa den i god tro. Av denna orsak finns det skäl att hålla efterlysningen i kraft så länge som fordonet har något värde. 

Enligt 7 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. En annan grundad anledning för att bevara uppgifterna kan vara t.ex. behov av att förlänga giltighetstiden för efterlysningen av ett försvunnet skjutvapen trots att undersökningen redan har avslutats. I momentet föreskrivs också om skyldighet att bedöma behovet av att bevara uppgifter minst vart femte år. Tiden för bedömningen av nödvändigheten, fem år, motsvarar den tid som föreskrivits för bedömningen i 6 § i dataskyddslagen avseende brottmål. På motsvarande sätt som i dagsläget kan nödvändigheten av att bevara information även bedömas enligt informationskategori så att man genom ett separat beslut t.ex. kan radera uppgifter som gäller vissa grupper, utan att uppgifterna behöver genomgås individuellt. 

I 8 mom. ingår en hänvisningsbestämmelse som gäller Prümfördraget och Prümrådsbeslutet. För tillämpningen av Prümfördraget och Prümrådsbeslutet har EU:s medlemsstater för s.k. sökträffar tagit i användning informationssystem för informationsutbyte av uppgifter i fordonsregister, i fingeravtrycksregister och av DNA-uppgifter. I de författningar som nämns i momentet krävs att logguppgifterna och övervakningsuppgifterna bevaras och raderingstiderna för dessa uppgifter föreskrivs i författningarna. 

34 §.Radering av andra personuppgifter som behandlas i undersöknings- och övervakningsuppgifter. Bestämmelsen omfattar personuppgifter som ska behandlas för sådana ändamål som avses i 5 § och som inte anknyter till förundersökning. Med stöd av bestämmelsen raderas därmed t.ex. uppgifterna om personer som direkt anknyter till polisens fältuppdrag, handräckningsuppdrag och till i lag särskilt föreskrivna övervakningsuppdrag. Genom paragrafen ersätts bestämmelserna i 22 § i den gällande lagen om utplåning av uppgifterna i andra anmälningar, utplåning av identifieringsuppgifter och säkerhetsinformation samt utplåning av vissa uppgifter som gäller efterlysta personer. Också i fråga om andra utrednings- och övervakningsuppgifter föreslås det att bestämmelserna om radering görs enklare och tydligare jämfört med 22 § i den gällande lagen. 

I enlighet med 1 mom. ska andra personuppgifter som behandlas för undersöknings- och övervakningsuppgifter än de uppgifter som avses i 33 § raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. Exempelvis utredande av dödsorsak samt utredning av förutsättningarna för ett besöksförbud eller ett näringsförbud är typiska exempel på omständigheter som ska utredas i samband med undersökningen av ett brottmål. 

I 2 mom. 1—4 punkten beaktas avvikande bevaringstider som anknyter till annan lagstiftning. Momentets 1—3 punkt gäller näringsförbud och besöksförbud samt sådana skyddsåtgärder, sådan övervakad frihet på prov och sådant övervakningsstraff som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor. I 4 punkten föreskrivs om radering av övriga uppgifter för att en person ska kunna påträffas, övervakas, observeras och skyddas i fråga om personer som är efterlysta, som har meddelats rese-, djurhållnings- eller jaktförbud, som har meddelats nationellt inreseförbud, som avtjänar samhällspåföljd eller är villkorligt frigivna. 

Bevaringstiderna för de uppgifter som avses i 1—4 punkten grundar sig, med avvikelse från huvudregeln i 1 mom., på när efterlysningen eller förbudet meddelades, återkallades eller upphörde. En bevaringstid som grundar sig på anmälan eller registrering av ärendet kunde leda till situationer där de personuppgifter som hänför sig till ärendet ska raderas medan efterlysningen eller förbudet ännu är i kraft eller omedelbart efter att giltighetstiden har upphört. 

Bevaringstiden för personuppgifter som behandlas för att personer som anmälts försvunna ska kunna hittas och okända avlidna ska kunna identifieras förlängdes i och med lagändringen 2013 från ett år till fem år. Det föreslås att bevaringstiden ytterligare preciseras i 2 mom. 5 punkten på så sätt att uppgifterna raderas tidigast fem år efter att den försvunna påträffades eller en okänd avliden identifierades. I komplicerade fall och i synnerhet om personen har påträffats utomlands eller den avlidna är utlänning, gör handräckningsförfarandena processen så långsam att det efter identifieringen ännu tar lång tid att avsluta ett ärende. Personuppgifter om nära släktingar som behövs för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas dock på den registrerades begäran eller omedelbart när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen. 

Med avvikelse från de gällande bestämmelserna föreslås det inte en separat bestämmelse om radering av uppgifter om efterspanade fordon eller egendomsuppgifter, utan efterlysningsuppgifter i anslutning till undersökningssyften ska raderas i enlighet med bevaringstiden för den anmälan eller det ärende till vilken efterlysningsuppgifterna anknyter. Uppgifterna ska raderas när de inte längre behövs för behandlingen av ett ärende, för utförande av ett uppdrag eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. 

I 6 punkten föreskrivs om raderingstiden för uppgifter för identifiering av utlänningar på motsvarande sätt som i 23 § i den gällande lagen. Genom att flytta bestämmelsen om bevaringstiden för uppgifter för identifiering av utlänningar så att den ingår i bestämmelserna om radering av personuppgifter som behandlas i undersöknings- och övervakningsuppgifter motsvarar de ändringarna som föreslås i 2 kap., genom vilka sambandet mellan övervakningen av utlänningar och förebyggandet, avslöjandet och utredningen av brott beaktas. 

I 3 mom. finns i överensstämmelse med den gällande lagen ett undantag som gäller radering av säkerhetsinformation. Med avvikelse från huvudregeln i 1 mom. ska säkerhetsinformation raderas senast ett år efter den registrerades död. På detta sätt blir det möjligt att bevara uppgifter som gäller t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till polispersonalen. För att säkerställa att säkerhetsinformationen behövs ska den enligt polisens föreskrifter uppdateras så att den motsvarar användningsändamålet minst en gång om året. I samband med granskningen ska det göras en anteckning om att en granskning har utförts. Onödiga eller felaktiga uppgifter ska omedelbart raderas ur systemet. På motsvarande sätt som i 23 § i den gällande lagen ska också enligt momentet uppgifter för identifiering av utlänningar raderas senast ett år efter den registrerades död. 

I 4 mom. föreskrivs det om ett undantag som ska gälla alla de uppgifter som avses i 1—3 mom. Man får fortsätta att bevara uppgifterna om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Det är alltså möjligt att bevara uppgifter t.ex. medan en undersökning av ett tjänstebrott ännu pågår. Enligt 4 mom. ska det med avvikelse från de gällande bestämmelserna också vara möjligt att bevara uppgifter av någon annan grundad anledning. I momentet föreskrivs det på motsvarande sätt som i 33 § i den gällande lagen om skyldighet att bedöma behovet av att bevara uppgifterna minst vart femte år. 

De uppgifter som avses i 5 § 3 mom., som behandlas för bedömning av deras betydelse, ska raderas genast efter att de har bedömts vara onödiga. Uppgifterna ska dock raderas senast sex månader efter att anteckningen infördes. Om raderingen av uppgifter ska det med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 5 § 3 mom. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 5 och 6 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 5 och 6 § avsedda uppgifter iakttas. 

35 §.Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott. Personuppgifter i anknytning till förebyggande och avslöjande av brott ska enligt det föreslagna 1 mom. raderas senast tio år efter att den sista anteckningen om ett brott, brottslig verksamhet eller ett uppdrag infördes. Den föreslagna huvudregeln motsvarar i huvudsak bestämmelsen om utplåning av uppgifter ur informationssystemet för misstänkta i 24 § i den gällande lagen, men bestämmelsen ska i fortsättningen gälla alla personuppgifter som med stöd av 7 och 8 § behandlas i syfte att förebygga och avslöja brott. I fråga om observationsuppgifter gäller en kortare förvaringstid än i vad som föreskrivs i 22 § 1 mom. 12 punkten i den gällande lagen. Uppgifterna ska raderas sex månader efter att anteckningen infördes. På detta sätt beaktas det att observationsuppgifter är osäkra till sin natur och att de inte ska bevaras längre än nödvändigt. 

Säkerhetsinformation som behandlas i syfte att förebygga och avslöja brott ska på motsvarande sätt som sådan säkerhetsinformation som avses i 34 § raderas senast ett år efter den registrerades död. På detta sätt blir det möjligt att bevara uppgifter som gäller t.ex. en persons farlighet eller hälsotillstånd så länge som det behövs för att garantera säkerheten för personen själv eller för personer som hör till polispersonalen. 

Exempelvis sådana personuppgifter som hänför sig till brottsanalyser som görs i syfte att förebygga eller avslöja brott och som behandlas i sådana temporära register för brottsanalys som avses i 6 § 2 mom. 2 punkten i den gällande lagen ska raderas i enlighet med den föreslagna paragrafen. Enligt 26 § i den gällande lagen raderas uppgifter ur personregister som avses i 6 § 2 mom. 2 punkten då fem år och ur andra personregister som har inrättats för en eller flera polisenheter, då tio år har förflutit sedan den gärning, åtgärd eller händelse som föranledde registreringen antecknades, om inte uppgifterna fortfarande behöver bevaras på grund av undersökning eller övervakning. Enligt den gällande lagen raderas personuppgifter dock inte om de inbegriper uppgifter som hänför sig till en persons egen säkerhet eller polisens säkerhet i arbetet. 

Införandet av samma systematiska bevaringstider för alla personuppgifter som behandlas enligt 7 och 8 § för att förebygga och avslöja brott klarlägger och förenklar raderingen av uppgifter med tanke såväl på genomförandet av systemen som på den registrerade personens rättsskydd. Samtidigt säkerställer man att det finns möjlighet att förebygga och avslöja de med tanke på hotpotentialen största och allvarligaste brotten. 

Det föreslagna 2 mom. innehåller en bestämmelse som motsvarar bestämmelsen i 33 § 7 mom. och 34 § 4 mom., enligt vilken personuppgifter fortfarande får bevaras om de behövs med tanke på utredning, övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. Som garanti för den personliga integriteten fungerar även de allmänt tillämpliga bestämmelserna om behovet av att behandla personuppgifter i 6 § i dataskyddslagen avseende brottmål. 

Den kortare bevaringstiden ska även gälla i 7 § 6 mom. avsedda uppgifter som behandlas för att bedöma deras betydelse. Uppgifterna ska raderas utan dröjsmål efter att de har bedömts vara onödiga, dock senast sex månader efter att de registrerats. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen i 7 § 6 mom. som gäller behandlingen. De uppgifter som anses vara behövliga och som uppfyller förutsättningarna för behandling enligt 7 och 8 § ska överföras till de aktuella ändamålen med behandlingen och beträffande dem ska de raderingstider som föreskrivs för i 7 och 8 § avsedda uppgifter iakttas. 

36 §.Radering av uppgifter om informationskällor. Det föreslås en separat paragraf med bestämmelser om radering av uppgifter om informationskällor. Förslaget motsvarar de ändringar som föreslås i 2 kap. och som innebär att bestämmelserna om behandlingen av uppgifter om informationskällor överförs till separat 9 §. Enligt 22 § 1 mom. 9 punkten i den gällande lagen ska uppgifter om en informationskälla utplånas då tio år har förflutit från den sista anteckningen om informationen. Det förslås att bestämmelsen ändras så att en maximal bevaringstid på tio år föreskrivs för uppgifterna. Genom ändringen beaktas att uppgifterna också kan raderas tidigare än efter tio år, t.ex. om uppgifterna inte längre behövs med tanke på ändamålet med behandlingen. 

37 §.Radering av personuppgifter som behandlas för kvalitetssäkring av DNA-prov. Bestämmelsen är ny i förhållande till den gällande lagen och i den beaktas raderingen av de personuppgifter som i enlighet med den föreslagna 10 § behandlats i anknytning till kvalitetssäkring av DNA-prov. Vid raderingen av uppgifterna iakttas kravet på att onödiga uppgifter ska raderas utan obefogat dröjsmål som föreskrivs i 6 § i dataskyddslagen avseende brottmål. En registrerad har rätt att i enlighet med 10 § förbjuda behandlingen av hans eller hennes personuppgifter, varför uppgifterna raderas utan dröjsmål också alltid när den registrerade begär det (1 mom.). 

Det är inte möjligt att fastställa en allmän bevaringstid för de uppgifter som avses i paragrafen, utan behovet av bevarandet bestäms från fall till fall. På grund av detta är tidsfristen för behovet av fortsatt bevarande av personuppgifterna kortare jämfört med tidsfristen när det gäller andra ändamål med behandlingen. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst varje år (2 mom.). 

38 §.Radering av personuppgifter som behandlas i polisens övriga lagstadgade uppgifter. Genom den föreslagna bestämmelsen ersätts 23 § i den gällande lagen, med undantag för uppgifter för identifiering av utlänningar som det föreskrivs om i den föreslagna 34 §. Bestämmelsen omfattar också övriga personuppgifter som behandlas med stöd av 11 och 12 § och om vars behandling det inte finns några bestämmelser i den gällande lagen om behandling av personuppgifter i polisens verksamhet. 

De gällande bestämmelserna om utplåning av uppgifter i informationssystemet för förvaltningsärenden infördes i samband med lagändringarna 2013. Bestämmelserna om utplåning har dock till vissa delar visat sig vara problematiska med tanke på polisens uppgifter inom tillståndsförvaltningen. I bestämmelserna föreskrivs olika långa bevaringstider för olika uppgiftskategorier som gäller samma tillståndsärende, vilket anses problematiskt med tanke på uppgifternas integritet. Bestämmelserna anses dessutom vara otydliga och krångliga. En problematisk situation med tanke på uppgifternas integritet är t.ex. att kravet på radering av uppgifter är olika för tillståndsbeslutet och uppgifterna om tillståndet. De förenklade bestämmelserna har vid beredningen bedömts främja den registrerades rättsskydd och avhjälper för sin del, på det sätt som grundlagsutskottet förutsatt, problemet med otydliga, tungrodda och komplicerade bestämmelser om behandling av personuppgifter. 

Det föreslås att bestämmelserna om radering ändras så att personuppgifter som behandlas för utförande av tillståndsförvaltningsuppgifter som regel ska raderas senast tjugo år efter att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes (1 mom.) Den föreslagna bestämmelsen förlänger bevaringstiden enligt 23 § i den gällande lagen i fråga om uppgifterna om identitetskort och pass som behandlas för skötseln av de uppgifter som föreskrivs i lagen om identitetskort och i passlagen, bilduppgifter som behandlas för identifiering och framställning av en identitetshandling samt uppgifterna för tillsynen över säkerhetsbranschen och av uppgifterna för tillsynen över penninginsamlingar och lotterier. 

Den gällande bevaringstiden på tio år för uppgifter om identitetskort och pass har visat sig vara för kort i situationer då man behöver behandla uppgifterna för att undersöka förutsättningarna för behållande av medborgarskap. I och med den tekniska utvecklingen under den senaste tiden finns det inte längre behov av att av tekniska orsaker begränsa bevaringstiden för bilduppgifter så att den är kortare än i fråga om andra uppgifter i anslutning till tillståndsärenden. Förlängningen av bevaringstiden för uppgifter som gäller tillsynen över säkerhetsbranschen och uppgifter för tillsynen över penninginsamlingar och lotterier förbättrar möjligheten att följa upp tillstånden under hela deras livscykel och samla behövliga uppgifter om övervakade tillställningar. För en förlängning av bevaringstiden i fråga om tillstånd till penninginsamlingar och lotteritillstånd talar också bestämmelserna om förutsättningarna för beviljandet av dessa tillstånd, enligt vika det krävs att uppgifter om tidigare tillstånd beaktas vid tillståndsprövningen. Bevaringstiden enligt den gällande lagen, tio år, leder i praktiken ofta till situationer där en enskild tillståndssökande endast har tillgång till uppgifterna i den senaste tillståndsansökan. 

1 2 mom. föreskrivs om undantag till den bevaringstid på 20 år som föreslås i 1 mom. I momentets 1 punkt föreskrivs en förvaringstid, på motsvarande sätt som i den gällande lagen, på tre år i fråga om radering av uppgifterna i en skjutvapenanmälan enligt skjutvapenlagen. 1 2 punkten beaktas det krav som i vapendirektivet ställs på medlemsstaterna att säkerställa att de behöriga myndigheterna behåller uppgifterna för skjutvapen och väsentliga delar i registret, inklusive tillhörande personuppgifter, under en period av 30 år efter det att skjutvapnen eller de väsentliga delarna i fråga skrotats. Tillgång till dessa registerposter och alla tillhörande personuppgifter bör enligt vapendirektivet för beviljande eller återkallande av tillstånd eller tullförfarande, inbegripet ett eventuellt påförande av administrativa sanktioner, begränsas till behöriga myndigheter och tillåtas endast upp till 10 år efter det att skjutvapnet eller de väsentliga delarna i fråga skrotats, och upp till 30 år efter det att skjutvapnet eller de väsentliga delarna i fråga skrotats när sådan tillgång är nödvändig i brottsbekämpningssyfte. brottsbekämpningssyfte. 

I 3 punkten föreskrivs en kortare förvaringstid på ett år för personuppgifter som anknyter till hittegodsverksamhet, inom vilken uppgifterna ska raderas. Behandlingen av personuppgifter som gäller ägaren eller upphittaren i anknytning till hittegodsverksamhet är till sin karaktär kortvarig och i samband med verksamheten görs inte förvaltningsbeslut som skulle kräva en längre bevaringstid. 

I 4 punkten föreskrivs om radering av personuppgifter som anknyter till tillsynsuppdrag i enlighet med 7 kap. i lagen om penningtvätt. Bestämmelser om radering av personuppgifter som ingår i sådana rapporter om misstänkta överträdelser som avses i 9 § i det kapitlet finns i 2 mom. i den nämnda paragrafen (fem år efter rapporteringen). För tydlighetens skull föreslås att också andra personuppgifter i anknytning till tillsyn enligt 7 kap. ska raderas inom fem år efter att anteckningen infördes. 

I 5 punkten föreskrivs om radering av uppgifter behövliga för behandlingen av de administrativa påföljder som polisen påför. Till de administrativa påföljder som avses i punkten hör avgift för trafikförseelse i enlighet med 160 § och fordonspecifik avgift för trafikförseelse i enlighet med 161 § i vägtrafiklagen samt de administrativa påföljder som avses i 8 kap. i lagen om penningtvätt. Uppgifterna ska utplånas två år efter att de infördes. 

I 6 punkten föreskrivs särskilt om bevaringstiden för personuppgifter som behandlas för övervakning enligt lotterilagen eller lagen om penningtvätt och som gäller kunder hos ett penningspelsbolag eller bolagets ombud. Dessa uppgifter ska raderas genast när de inte längre behövs för utförande av tillsynsuppdraget. Behandlingen av personuppgifter som gäller kunderna hos ett spelbolag eller bolagets ombud kan behövas t.ex. för behandlingen av en spelares ansökan om en rekommendation till avgörande, då behovet att behandla personuppgifterna i allmänhet upphör inom ca två år efter att de togs emot. Tillsynen av spelbeteendet i anslutning till och skadeverkningar på grund av penningspelande kan dock kräva också längre tid för behandlingen av personuppgifter. 

I 3 mom. föreskrivs på motsvarande sätt som i 23 § 2 mom. i den gällande lagen att personuppgifter, med vissa undantag, ska raderas senast ett år efter den registrerades död. Bestämmelserna gäller också de säkerhetsuppgifter som avses i den föreslagna 12 § 1 mom. 6 punkten. De uppgifter som avses i 2 mom. 2—5 punkten raderas dock inte på grund av en persons död. Den bevaringstid på 30 år som krävs enligt vapendirektivet begränsas för iakttagande av förpliktelserna i direktivet inte utifrån en persons död, eftersom behovet av att för en lång tid bevara personuppgifterna för innehavare och ägare av ett vapen grundar sig på behovet av att övervaka livscykeln för vapnet. Uppgifter som anknyter till hittegodsverksamhet raderas i enlighet med punkten i fråga inom ett år efter att uppgiften infördes och då har bestämmelserna i 3 mom. inte någon praktisk betydelse med tanke på bevaringstiden för uppgifterna. Paragrafen tillämpas på rapporter om misstänkta överträdelser i enlighet med 7 kap. 9 § i lagen om penningtvätt, i vilken det inte föreskrivs om radering av uppgifter på grund av den registrerades död. För tillsyn enligt lotterilagen och lagen om penningtvätt ska uppgifterna om de kunder som behandlas inte vara möjliga att plocka ut ur det informationsmaterial som penningspelsbolaget lämnar till polisen på grund av en kunds död. Uppgifterna om spelare kan inte kopplas samman med enskilda fysiska personer enbart utifrån de uppgifter som penningspelsbolaget överför som datamängd till polisen, utan polisen får personuppgifterna för en enskild spelare endast via penningspelsbolaget. 

39 §.Uppgifter som konstaterats vara felaktiga. Paragrafen motsvarar till sitt innehåll 27 § i den gällande lagen. Genom den föreslagna bestämmelsen blir det möjligt att bevara en felaktig uppgift i registret tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har (1 mom.). Felaktiga uppgifter får inte användas för något annat ändamål. 

I 7 § i dataskyddslagen avseende brottmål föreskrivs att de personuppgifter som behandlas ska vara korrekta och uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige ska se till att alla rimliga åtgärder har vidtagits för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål. Enligt 25 § 1 mom. i den nämnda lagen ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med tanke på ändamålet med behandlingen. Paragrafen ersätter inte kravet på begränsning av behandlingen av personuppgifter i enlighet med 25 § 2 mom. i dataskyddslagen avseende brottmål, utan genom att bevara paragrafen som den är säkerställs en problemfri övergång till regleringen enligt den nya lagen. 

Enligt artikel 5 i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 16 i förordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den föreslagna bestämmelsen kompletterar den registrerades rätt i fråga om de ändamål med behandlingen som föreskrivs i 11 och 12 § att få uppgifter rättade i enlighet med artikel 16 i dataskyddsförordningen. Bestämmelsen begränsar inte denna rätt, men det ska vara möjligt att bevara uppgifter som konstaterats vara felaktiga tillsammans med de rättade uppgifterna i sådana situationer som avses i 1 mom. 

I 2 mom. föreskrivs om ett undantag i fråga om bevarande av en uppgift som har konstaterats vara felaktig. Undantaget gäller det nationella systemet inom Schengens informationssystem. Enligt 3 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för att trygga rättigheterna. 

40 §.Arkivering av uppgifter. Paragrafen innehåller en informativ bestämmelse där det hänvisas till den lagstiftning som ska tillämpas på arkivfunktionens uppgifter och handlingar som ska arkiveras. Bestämmelsen motsvarar till sitt innehåll 28 § i den gällande lagen. 

6 kap. De registrerades rättigheter

Bestämmelserna om de registrerades rättigheter kommer främst att finnas i 4 kap. i dataskyddslagen avseende brottmål och i kapitel III i dataskyddsförordningen. I detta kapitel preciseras bestämmelserna i fråga om tillgodoseende av den registrerades rätt till insyn och inskränkningar i den registrerades rätt. 

I dataskyddsförordningen är det delvis den rättsliga grunden för behandlingen som avgör vilka rättigheter för en registrerad som ska tillämpas på behandlingen av personuppgifter. Rätten till radering enligt artikel 17 i förordningen tillämpas inte om personuppgifter behandlas för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Rätten till dataportabilitet enligt artikel 20 i förordningen tillämpas för sin del endast på behandling som grundar sig på samtycke eller ett avtal. Dessutom omfattar rätten enligt artikel 21 att göra invändningar mot behandling av uppgifter endast sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Eftersom sådan behandling av personuppgifter som avses i denna lag ska ske i syfte att utföra någon av polisens lagstadgade uppgifter ska inte artiklarna 17, 20 och 21 i förordningen tillämpas på den. 

41 §.Tillgodoseende av den registrerades rätt till insyn. I 1 mom. preciseras att den personuppgiftsansvarige svarar för att lämna ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn när det är fråga om sådan rätt till insyn som avses i 23 § i dataskyddslagen avseende brottmål samt den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen. Den personuppgiftsansvarige kan också förordna en annan polisenhet att lämna ut uppgifterna. 

I 23 § i dataskyddslagen avseende brottmål föreskrivs att den registrerade kan begära att rätten till insyn ska tillgodoses genom att lämna in en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige. I artikel 15 i dataskyddsförordningen föreskrivs inte uttryckligen om sätten för att förverkliga insynsrätten, men uppgifterna ska enligt artikeln tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade gör begäran i elektronisk form och inte begär något annat. 

En begäran genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt räcker emellertid inte för att man ska kunna säkerställa identiteten på den som framförde begäran på ett tillräckligt tillförlitligt sätt med tanke på de personuppgifter som behandlas av polisen. Av denna orsak föreskrivs i 2 mom. med avvikelse från dataskyddslagen avseende brottmål att en registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd myndighet samt styrka sin identitet. En begäran kan alternativt också framställas med hjälp av en elektronisk tjänst som tillhandahålls av den personuppgiftsansvarige genom användning av stark autentisering. Vid identifieringen ska kraven enligt lagstiftningen om elektronisk kommunikation i myndigheternas verksamhet iakttas. 

Tillhandahållandet av en elektronisk tjänst underlättar den registrerades möjligheter att utöva sin rätt till insyn på det sätt som det nya dataskyddsdirektivet och dataskyddsförordningen förutsätter. I bestämmelsen tar man dock i beaktande att en elektronisk tjänst inte nödvändigtvis är i bruk genast då lagen träder i kraft, utan tjänsten ska genomföras i mån av möjlighet vid en tidpunkt som den personuppgiftsansvarige närmare fastställer. 

Ytterligare information som begärts för att styrka den registrerades identitet bör enligt skäl 41 till dataskyddsdirektivet enbart behandlas för detta specifika ändamål och bör inte lagras längre än vad som krävs för detta ändamål. 

42 §.Inskränkningar i rätten till insyn. Bestämmelser om inskränkningar i den registrerades rätt till insyn i enskilda fall finns i 24 och 28 § i dataskyddslagen avseende i brottmål. Genom den föreslagna 42 § kompletteras dessa bestämmelser med bestämmelser om allmänna undantag som gäller polisens behandling av personuppgifter när det gäller den rätt till insyn för en registrerad i enlighet med 23 § i dataskyddslagen avseende brottmål. I fråga om begräsningar i rätten till insyn när det gäller personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen gäller vad som föreskrivs i dataskyddsförordningen och 34 § i dataskyddslagen. 

Enligt 1 mom. 1 punkten gäller rätten till insyn inte personuppgifter som avses i 5 § 3 mom. och 7 § 6 mom., i fråga om vilka polisen först i det skedet gör en bedömning av deras behövlighet. Rätten till insyn gäller inte heller de uppgifter om informationskällor som avses i 9 §, i fråga om dessa har rätten till insyn också inskränkts i 45 § 1 mom. 4 punkten i den gällande lagen. 

I 2 punkten inskränks på motsvarande sätt som i 45 § 1 mom. 3 punkten i den gällande lagen insynsrätten i fråga om personuppgifter om hemlig övervakning och särskild kontroll i Schengens informationssystem. 

I 3 punkten utesluts insynsrätten gällande i 5—8 § avsedda personuppgifter i vilka uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning ingår. Punkten ersätter och innehåller i den tidigare omfattningen bestämmelserna i 45 § 1 mom. 1 och 4 punkten i den gällande lagen, men bestämmelsen ska omformuleras för att iaktta de ändringar som föreslås i 2 kap. Samtidigt harmoniseras formuleringen med 24 § 1 mom. 5 punkten i offentlighetslagen, där det föreskrivs om sekretessen gällande handlingar som innehåller uppgifter om polisens, Gränsbevakningsväsendets och tullverkets samt fångvårdsmyndigheternas taktiska och tekniska metoder och planer, samt med 7 kap. 3 § i polislagen, enligt vilken de som hör till polisens personal är inte skyldiga att lämna ut information om sekretessbelagda taktiska eller tekniska metoder. När det gäller sådana uppgifter är även en parts rätt att ta del av en handling begränsad på grund av ett sådant synnerligen viktigt allmänt intresse som avses i 11 § 2 mom. i offentlighetslagen. Avslöjandet av dessa uppgifter kan leda till farosituationer eller förlusten av förtroendeförhållanden eller avslöjandet av metoder och skadar förebyggandet och utredningen av brott eller upprätthållandet av allmän ordning och säkerhet. 

I uppgifter om polisens taktiska och tekniska metoder ingår också uppgifterna om användningen av hemliga metoder för inhämtning av information enligt 4 punkten samt om själva metoderna. Till den särskilda karaktären för dessa inhämtningsmetoder hör att behandlingen, beslutsfattandet och genomförandet av ett ärende som gäller en inhämtningsmetod sker utan målpersonens vetskap genom domstolens beslut. Det föreskrivs separat om informeringen av målpersonen. Det finns ett separat övervakningsförfarande för att övervaka användningen av dessa metoder. Eftersom hemliga tvångsmedel genomförs utan målpersonens vetskap, kan uppgifter inte heller lämnas till honom eller henne med stöd av personuppgiftslagstiftningen. 

I 3 punkten inskränks, på motsvarande sätt som i den gällande lagen, insynsrätten så att den inte omfattar uppgifter om en person vilka inverkar på personens egen säkerhet eller på säkerheten i arbetet inom polisen, efterlysningsuppgifter som registrerats i efterlysningsuppgifter för att iaktta personen, efterlysningsuppgifter om personer under uppsyn som rör sig med motorfordon som har registrerats i uppgifterna om motorfordon som söks, uppgifter om målpersonens säkerhet vid förvaring som har registrerats i uppgifter om anhållna personer, uppgifter om gärningssätt samt bland signalementsuppgifter t.ex. nyckelord, särskilda kännetecken, fotografier, finger- och handavtryck, DNA-prov och klassificeringsuppgifter för dem samt skoavtryck. 

Momentets 4 punkt motsvarar 45 § 1 mom. 5 punkten i den gällande lagen och genom denna punkt utesluts en registrerads rätt till insyn när det gäller personuppgifter som fåtts genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 19 kap. 157 § i lagen om tjänster inom elektronisk kommunikation (917/2014). 

Enligt 2 mom. har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten av behandlingen av sådana personuppgifter som avses i 1 mom. på det sätt som föreskrivs i 29 § i dataskyddslagen avseende brottmål. Den registrerade ska lämna en begäran om utövning av rättigheterna till dataombudsmannen eller polisen i enlighet med 41 § 2 mom. Polisen ska därefter utan dröjsmål överföra begäran till dataombudsmannen. Den föreslagna bestämmelsen motsvarar nuvarande praxis, enligt vilken begäran till dataombudsmannen kan lämnas till polisen. Då kan polisen verifiera personens identitet och kontrollera att personuppgifterna stämmer. Förutom när det gäller en sådan begäran om att rätten till insyn ska tillgodoses som avses i 41 § är det också nödvändigt att säkerställa identiteten på en person som framfört en sådan begäran om att få utnyttja sin indirekta rätt till insyn som ska sändas till dataombudsmannen eftersom behandlingen av begäran ofta förutsätter omfattande behandling av personuppgifter. 

Konsekvenserna av de förslag som gäller inskränkningar i rätten till insyn för skyddet av personlig integritet granskas närmare i det avsnitt som gäller propositionens förhållande till grundlagen. 

43 §.Utövande av rätten till insyn i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem. Paragrafen ersätter 47 § i den gällande lagen och innehåller en specialbestämmelse om tillgodoseende av rätten till insyn. Var och en har enligt paragrafen rätt att begära att den tillsynsmyndighet som avses i artikel 115 i Schengenkonventionen kontrollerar att insamlingen, registreringen, behandlingen och användningen av personuppgifter som gäller honom eller henne i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem sker på ett lagligt och riktigt sätt. Dataombudsmannen är tillsynsmyndighet. 

Bestämmelser om begäran harmoniseras med andra bestämmelser om tillgodoseende av rätten till insyn i 6 kap. En begäran om kontroll ska läggas fram till polisen på det sätt som föreskrivs i 41 § 1 mom. Polisen ska utan dröjsmål överföra den mottagna begäran till dataombudsmannen. 

44 §.Utövande av rätten till insyn i fråga om behandlingen av personuppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet. Bestämmelsen motsvarar 40 § 3 mom. i den gällande lagen, men flyttas till de bestämmelser som gäller registrerades övriga rättigheter. Dessutom harmoniseras bestämmelserna om sättet att lägga fram begäran med andra bestämmelser om tillgodoseende av rätten till insyn i 6 kap. Behandlingen av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet anknyter till brottmål och den registrerade har indirekt kontrollrätt genom dataombudsmannens förmedling. 

45 §.Den registrerades rätt till begränsning av behandling. Genom den föreslagna 45 § inskränks den registrerades rätt med stöd av artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Inskränkningen grundar sig på det handlingsutrymme som medlemsstaterna ges i artikel 23 i dataskyddsförordningen. 

Den registrerade har med stöd av artikel 18 i dataskyddsförordningen rätt att kräva en begränsning av behandlingen av hans eller hennes personuppgifter, t.ex. i situationer där den registrerade bestrider personuppgifternas korrekthet eller anser att behandlingen av personuppgifterna är olaglig. Om behandlingen har begränsats får personuppgifter behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Enligt skäl 67 till dataskyddsförordningen kan sätten att begränsa behandlingen av personuppgifter bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet. 

Ett tillgodoseende av den registrerades rätt till begränsning i enlighet med artikel 18 skulle ha betydande inverkningar på polisens arbetsuppgifter i samband med tillståndsförvaltningen samt på behandlingen av personuppgifter för utförandet av de tillsynsuppgifter som föreskrivs för polisen på vilken tillämpas 11 och 12 § i lagförslag 1. Problematiska med tanke på uppgifter i samband med tillståndsförvaltningen är t.ex. situationer där den registrerade bestrider riktigheten av en uppgift som gäller hinder för beviljandet eller ikraftvarandet av ett tillstånd, och denna uppgift som eventuellt är väsentlig med tanke på tillståndsprövningen och tillsynen över tillstånd därmed inte kan användas i beslutsfattandet i samband med tillståndsförvaltningen. Polisen har därmed ingen möjlighet att på ett heltäckande sätt utnyttja registeruppgifter behövliga för att fatta tillståndsbeslut eller följa upp villkoren för tillstånds giltighet på det sätt som krävs enligt speciallagstiftningen för tillståndsförvaltningen, t.ex. enligt skjutvapenlagen. På motsvarande sätt skulle en begränsning av behandlingen av uppgifter i anknytning till t.ex. administrativa påföljder som polisen påför försvåra polisens skötsel av de lagstadgade uppgifterna. Automatiseringen av de funktioner som krävs för begränsningen av behandlingen innebär dessutom betydande ändringsbehov i polisens informationssystem. 

Polisens tillståndsförvaltning har till uppgift att i och med det administrativa beslutsfattandet och genom olika övervakningsmetoder förebygga brott och störningar av den allmänna ordningen och säkerheten i ett samhälle där säkerhetsläget håller på att förändras (Polisens tillståndsförvaltningsstrategi 2017—2021). En begränsning av behandlingen av uppgifter utifrån den registrerades krav med stöd av artikel 18 skulle kunna äventyra tillgången till personuppgifter som behandlas för uppdrag i anslutning till polisens tillståndsförvaltning samt för de ursprungliga ändamålen med behandlingen av personuppgifterna och för de ändamål med behandlingen som anknyter till brottmål, för vilka personuppgifter som insamlats för tillståndsförvaltningens ändamål med stöd av 13 och 14 § i lagförslaget får behandlas. Utöver personuppgifter som anknyter till tillståndsförvaltningen bedöms också att en begränsning av behandlingen av övriga uppgifter som avses i 11 och 12 §, t.ex. personuppgifter som behövs för skötseln av övervakningsuppdrag och administrativa påföljder, skulle orsaka en betydande risk för utförandet av polisens lagstadgade uppgifter. 

Propositionens inverkan på den registrerades rättsskydd bedöms mer ingående i den del som gäller propositionens förhållande till grundlagen. 

7 kap. Behandling av personuppgifter vid skyddspolisen

46 §.Tillämpningsområde. I detta kapitel föreskrivs om behandling av personuppgifter behövliga för skötseln av de uppgifter som föreskrivs för skyddspolisen i 10 § i polisförvaltningslagen. Till övriga delar iakttas i tillämpningsområdet motsvarande reglering som för polisen i övrigt, dvs. i lagen föreskrivs om helt eller delvis automatisk behandling av personuppgifter som behövs för skötseln av skyddspolisens uppgifter samt om annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 

Enligt 2 mom. tillämpas som allmän lag dataskyddslagen avseende brottmål på skyddspolisens behandling av personuppgifter, om inte något annat föreskrivs i detta kapitel. Bestämmelserna i 10 § 2 mom., 54 § och 7 kap. i dataskyddslagen avseende brottmål är på grund av anknytningen till EU:s dataskyddslagstiftning inte tillämpliga på skyddspolisens behandling av personuppgifter. Bestämmelserna motsvarar bestämmelserna i 1 § 3 mom. i dataskyddslagen avseende brottmål. I fråga om uteslutningen hänvisas för motiveringens del till detaljmotiveringen i lagen i fråga. På skyddspolisens behandling av personuppgifter tillämpas inte alls dataskyddsförordningen och med stöd av den utfärdade dataskyddslagen. 

Paragrafens 3 mom. är informativt och iakttar bestämmelsen i 2 § i denna lag 

47 §.Personuppgiftsansvarig. Skyddspolisen är personuppgiftsansvarig för de personuppgifter som avses i detta kapitel. Paragrafen motsvarar bestämmelsen i 7 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet, enligt vilken skyddspolisen är registeransvarig för det i 5 § avsedda skyddspolisens funktionella informationssystem. 

48 §.Behandling av personuppgifter vid skyddspolisen. Definitionen av behandlingen av personuppgifter vid skyddspolisen motsvarar definitionen i 5 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet. I enlighet med den gällande och den föreslagna bestämmelsen får skyddspolisen behandla personuppgifter som behövs för utförande av de lagstadgade uppgifter som skyddspolisen ska sköta. I det fallet att lagstiftningsförslaget om civil underrättelseinhämtning träder i kraft är avsikten att i det sammanhanget slopa skyddspolisens förundersökningsuppgift och befogenheterna i anslutning till den. Detta kommer att framgå också av 10 § i polisförvaltningslagen. Då utredning av brott av denna orsak stryks i ändamålen med behandlingen så leder detta inte till att skyddspolisen inte också i fortsättningen ändå skulle ha behov av att behandla förundersökningsuppgifter för skötseln av sina egna uppdrag. I förundersökningsmaterial kan ingå uppgifter som behövs för skyddandet av den nationella säkerheten eller brottsbekämpning. Det är vanligt att det vid förundersökning avslöjas information med stöd av vilken man kan förhindra andra brott. Dessutom ska skyddspolisen också i fortsättningen fungera som sakkunnig i olika helheter av förundersökningar. Skyddspolisen ska vara sakkunnig i polisens förundersökningar i synnerhet när ärendet anknyter till den nationella säkerheten eller när det utreds om det har anknytning. Skyddspolisen ska utan undantag vara sakkunnig i synnerhet vid utredning av brottsrubriceringar som gäller terrorism, spioneri och motsvarande rubriceringar, men behovet av att med beaktande av den egna uppgiften vid behov delta och behandla personuppgifter finns också i fråga om andra förundersökningar, t.ex. sådana som gäller penningtvätt. Trots att ändamålet utredning av brott i och med lagstiftningen om civil underrättelseinhämtning stryks i paragrafen, får skyddspolisen således för skötseln av sina egna uppgifter fortfarande behandla material som anknyter till utredning av brott. 

Skyddspolisen måste kunna bedöma behovet av personuppgifterna för de i 1 mom. avsedda ändamålen med behandlingen. Skötseln av skyddspolisens uppgifter kräver en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Enligt 2 mom. tillåts att de uppgifter som avses i 1 mom. tillfälligt får behandlas för att utreda huruvida en uppgift är av betydelse eller inte med tanke på skyddspolisens uppdrag. Till denna del motsvarar regleringen datainnehållet i den föreslagna bestämmelsen om registret för militär underrättelseverksamhet i 13 § i RP 13/2018 rd om behandling av personuppgifter inom Försvarsmakten. Med av betydelse hänvisas, som i fråga om militär underrättelseinhämtning, till uppfyllandet av tröskeln för behandling. Huruvida uppgifterna är av betydelse ska bedömas utan dröjsmål, dock senast inom sex månader från den tidpunkt då de registrerades. Ifall en uppgift inte inom utsatt tid har konstaterats vara behövlig för skötseln av uppdragen, eller i fråga om de särskilda personuppgiftskategorierna nödvändig, ska den utplånas ur registret. Tiden på sex månader ska anses som en skälig bakre gräns med tanke på myndighetens uppgifter, inom ramen för vilken bedömningen senast ska göras. Bestämmelserna motsvarar också dem som i 2 kap. föreslås för den övriga polisen. 

Paragrafens 3 mom. innehåller en informativ hänvisning till säkerhetsutredningslagen, med stöd av vilken skyddspolisen också behandlar personuppgifter. 

49 §.Behandling av grundläggande personuppgifter. Skyddspolisen får endast behandla personuppgifter behövliga med tanke på skyddspolisens uppgift. 

Behandlingen av personuppgifter vid skyddspolisen motsvarar till sin karaktär närmast behandlingen av personuppgifter vid militär underrättelseinhämtning. Av denna orsak ska det i bestämmelserna om behandling av personuppgifter vid skyddspolisen beaktas vad som föreskrivs om behandling av personuppgifter vid militär underrättelseinhämtning. 

Enligt förslaget formuleras bestämmelserna om behandling av grundläggande personuppgifter i en mer flexibel form än de gällande bestämmelserna om datainnehåll genom att regleringstekniskt övergå från enskilda uppgifter som får registreras till vilka uppgiftskategorier som är tillåtna på samma sätt som föreslås i fråga om Försvarsmakten i regeringens proposition 13/2018 rd. I lagen ska därmed inte längre föreskrivas om vilka enskilda personuppgifter som får behandlas, utan om uppgiftskategorier ifråga om vilka personuppgifter får behandlas. Det exaktare innehållet i varje uppgiftskategori bestäms utifrån användningsändamålet och behandlingströskeln. Exempelvis vilka enskilda personuppgifter som ska få behandlas utifrån uppgiftskategorins identifikationsuppgifter, ska grunda sig på hurdana identifikationsuppgifter man behöver behandla med tanke på ändamålet med användningen. Regleringstekniken ska till denna del vara mera flexibel än i dagsläget, eftersom innehållet i uppgiftskategorierna kan förändras i och med behandlingsbehoven och t.ex. teknikutvecklingen. Bestämmelserna om användningsändamål och tillåtna datainnehåll bör alltid tillämpas som en helhet och personuppgifter som inte behövs med tanke på användningsändamålet får därför inte behandlas, även om en bestämmelse om datainnehållet skulle tillåta det, om man läste den separat. 

Ett undantag från den mer generella regleringstekniken i fråga om datainnehåll är dock fortfarande uppgifter som hör till särskilda kategorier av personuppgifter, s.k. känsliga uppgifter. Exempelvis ger uppgiftskategorin ”identifikationsuppgifter” i sig inte rätt till behandling av biometriska identifikationsuppgifter eller andra uppgifter som hör till de särskilda kategorierna av personuppgifter. Sådana personuppgifter ska dessutom få behandlas endast om behandlingen av dem är nödvändig, dvs. tröskeln för behandling av dem ska vara högre än för andra personuppgifter. De uppgifter som hör till de särskilda kategorierna av personuppgifter definieras i 11 § i dataskyddslagen avseende brottmål. 

I och med ändringen av regleringstekniken görs inte några betydande ändringar i behandlingen av personuppgifter vid skyddspolisen jämför med den gällande lagen. De grundläggande personuppgifter som skyddspolisen behandlar motsvarar de uppgifter som skyddspolisen behandlar redan med stöd av den gällande lagen som grund. 

Enligt 1 mom. 2 punkten får identifikationsuppgifter som grundar sig på en persons fysiska egenskaper samt ljud- och bildupptagningar behandlas, genom vilka en viss person kan identifieras eller som kan kopplas till en viss person. Identifikationsuppgifter som grundar sig på fysiska egenskaper är bl.a. personens längd, vikt, ögonfärg och andra yttre kännetecken. Med stöd av denna punkt kan med iakttagande av den högre behandlingströskeln uppgifter som hör till särskilda kategorier av personuppgifter också behandlas. 

I övriga identifikationsuppgifter enligt 3 punkten ingår bl.a. personens namn och kön. Med stöd av denna punkt får uppgifter utifrån vilka en person kan identifieras behandlas. Uppgifterna kan också vara identifikationsuppgifter som grundar sig på fysiska egenskaper. Identifikationsuppgifter är dock som begrepp mera vidsträckt än endast de i 2 mom. avsedda identifikationsuppgifterna som grundar sig på fysiska egenskaper och de omfattar bl.a. en persons tatueringar eller andra motsvarande yttre kännetecken. 

I uppgifter om medborgarskap och familjeförhållanden i 4 punkten ingår bl.a. uppgifter om uppgifter om medborgarskap, tidigare medborgarskap, statslöshet, nationalitet samt behövliga uppgifter i anslutning till familjeförhållanden. 

De uppgifter som avses i 5, 6 och 7 punkten kräver som uppgiftskategorier inte något förtydligande, utan de omfattar, som det står i punkterna, bosättningsort, uppgifter om utbildning och yrke samt arbetslivserfarenhet och tidigare anställningar och personens kontaktuppgifter. I uppgifterna om bosättningsort ingår uppgifter om en persons hemkommun och grunderna för en persons vistelse i Finland. Uppgifter i anslutning till en pesons vistelse i Finland kan också hänföras till andra punkter, t.ex. uppgifter om resande. 

Uppgifter som avses i 8 punkten och som anknyter till resande ska vara bl.a. uppgifter i resedokument samt andra behövliga uppgifter i anknytning till inresa och gränsöverskridande, t.ex. uppgifter om passagerare inom flygtrafiken. 

Med stöd av 10 punkten får identifikationsuppgifter, som kan vara t.ex. de IP-adresser och telefonnummer som personen använder och de förmedlingsuppgifter som hänför sig till kommunikationen, behandlas. Identifikationsuppgifter kan också vara fastighetsbeteckningar i fastighetsdatasystemet, när man uttryckligen har för avsikt att med stöd av dem identifiera ägaren till en fastighet. 

Uppgifter om en juridisk person enligt 11 punkten är som begrepp omfattande och gör det möjligt bl.a. att behandla uppgifter som gäller en juridisk persons ägar- och bestämmanderättsförhållanden, om behandlingen av uppgifterna är behövlig med tanke på ändamålet med behandlingen. 

Momentets 12 punkt är till sitt innehåll verkligt omfattande och med stöd av den får sådana uppgifter som gäller en persons verksamhet och beteende behandlas som kan ha betydelse med tanke på ändamålet med personuppgiftsbehandlingen vid skyddspolisen. Sådana uppgifter är t.ex. en persons kontakter, levnadssätt, hobbyer, andra intressen eller andra motsvarande uppgifter. Behandlingen av dessa uppgifter ska vara behövlig med tanke på skyddspolisens uppdrag. Med stöd av denna punkt kan med iakttagande av den högre behandlingströskeln uppgifter som hör till särskilda kategorier av personuppgifter också behandlas. 

Enligt 2 mom. får skyddspolisen dessutom behandla i 11 § i dataskyddslagen avseende brottmål definierade uppgifter som gäller särskilda kategorier av personuppgifter om det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter. I nödvändiga uppgifter som hör till särskilda kategorier av personuppgifter kan ingå också andra uppgifter än de som hör till de i 1 mom. avsedda uppgiftskategorierna. I fråga om uppgiftsinnehållet görs inga betydande ändringar jämfört med den gällande regleringen. Den enda ändringen jämfört med den gällande regleringen är bestämmelserna om biometriska uppgifter. Skyddspolisen får redan i dagsläget direkt med stöd av lagen behandla biometriska uppgifter och får sådana också vid internationellt samarbete varför det är motiverat att bestämmelser om behandlingen av dem också ingår i den lag som gäller behandling av personuppgifter. 

50 §.Utlämnande av personuppgifter. Skyddspolisens primära uppgift är att skaffa information för att skydda den nationella säkerheten. I detta syfte måste det också vara möjligt att trots sekretessbestämmelserna lämna ut uppgifter. Personuppgifter ska kunna lämnas till behöriga myndigheter, sammanslutningar som sköter offentliga uppgifter och i vissa fall också till privata aktörer. I paragrafen föreslås med tanke på den gällande lagstiftningen inte några ändringar i sak. Den enda ändringen är att termen nationell säkerhet används i stället för statens säkerhet som i den gällande lagen. I sak motsvarar termerna dock varandra. 

Enligt 1 mom. får skyddspolisen till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter lämna ut personuppgifter som skyddspolisen behöver för att utföra sina egna uppgifter. Till denna del föreslås inte några ändringar i den gällande lagstiftningen, dvs. i och med regleringen kvarstår nuläget. 

Enligt 2 mom. får skyddspolisen, på samma sätt som den övriga polisen, lämna ut personuppgifter också till andra myndigheter för att en uppgift som föreskrivs för dem ska kunna utföras. Till denna del hänvisas i momentet till 4 kap. i denna lag och till motsvarande reglering i fråga om den övriga polisen. I momentet avses alltså utlämnande av information i situationer där utlämnandet inte behövs för utförandet av skyddspolisens egna uppgift, utan för utförandet av en uppgift som det föreskrivs att en annan myndighet eller polisenhet ska sköta. Skyddspolisen kan då med stöd av detta moment lämna ut personuppgifter till andra polisenheter när detta behövs för de ändamål som föreskrivs i 13 §. Till denna del ska skyddspolisen iaktta vad som föreskrivs om befogenheter. Om bestämmelserna om utlämnande av uppgifter i brottsbekämpning begränsas i lagstiftningen om civil underrättelseinhämtning, ska dessa bestämmelser iakttas. Med denna bestämmelse om nyttjandebegränsning avses den s.k. brandmursbestämmelsen i lagstiftningen om civil underrättelseinhämtning, dvs. i 5 a kap. 44 § polislagen. När personuppgifter och uppgifter om brott i anknytning till dem har fåtts genom en metod för underrättelseinhämtning, ska bestämmelsen i fråga iakttas när uppgifterna lämnas ut för brottsbekämpning. Därmed får skyddspolisen lämna ut personuppgifter till andra polisenheter och myndigheter för skötseln av deras uppgifter, om utlämnandet av uppgifterna inte har begränsats eller förbjudits med stöd av någon annan bestämmelse. 

I 3 mom. föreskrivs om skyddspolisens möjlighet att registrera uppgifter direkt i polisens register. Bestämmelser om möjligheten att genom en teknisk anslutning direkt registrera uppgifter i polisens register finns i 17 §, varför momentet i denna paragraf är av informativ karaktär. Skyddspolisen får föra in uppgifter i polisens register för skötseln av en egen sådan uppgift, dvs. att skydda den nationella säkerheten, där också den övriga polisen behövs. Skyddspolisen får också lämna ut uppgifter till polisen som behövs för utförandet av ett annat uppdrag som polisen ska sköta. Skyddspolisen kan ha eller få uppgifter som är behövliga för ett uppdrag som polisen ska sköta och som inte anknyter till utförandet av skyddspolisens egna uppgifter. Dessa uppgifter ska kunna överföras för skötseln av en annan polisenhets uppdrag. 

I 4 mom. finns bestämmelser om hur personuppgifter lämnas ut till privata sammanslutningar och personer. Utlämnande av personuppgifter trots sekretessbestämmelserna till privata aktörer är ovanligt och kräver att det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter. 

51 §. Utlämnande av personuppgifter i internationellt samarbete. I paragrafen föreslås inte några ändringar i den gällande lagstiftningen om behandling av personuppgifter i internationellt samarbete. Paragraferna motsvarar 29 och 30 § i gällande lag. En central uppgift för skyddspolisen är internationellt samarbete med utländska säkerhets- och underrättelsetjänster. I denna avsikt får skyddspolisen lämna ut personuppgifter också till utländska behöriga myndigheter. Skyddspolisen får lämna ut personuppgifter förutom till utländska säkerhets- och underrättelsetjänster också till andra myndigheter som har till uppgift att skydda den nationella säkerheten, trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga och utreda brott och föra brott till åtalsprövning. Dessutom får skyddspolisen vid behov samarbeta också med internationella kriminalpolisorganisationer. Skyddspolisen får samarbeta med och lämna ut personuppgifter till också andra internationella myndigheter, t.ex. Europol och Interpol, när myndigheten i fråga ska sköta de uppgifter som i denna paragraf namns för andra utländska myndigheter. 

Villkoret för att lämna ut uppgifter är att de är nödvändiga med tanke på uppgiften i fråga. Till denna del kvarstår tröskeln enligt den gällande lagen för lämnande av uppgifter. 

Med stöd av 2 mom. får skyddspolisen också lämna ut personuppgifter för att en utländsk myndighet ska kunna utföra sina uppdrag. Skyddspolisens uppgift är inte att skydda en annan stats nationella säkerhet, varför det ska föreskrivas särskilt om nödvändigt utlämnande av uppgifter för att en utländsk myndighet ska kunna utföra sina uppdrag. I allt utlämnande av personuppgifter ska de grundläggande principerna för behandling av personuppgifter samt de grundläggande fri- och rättigheterna och de mänskliga rättigheterna iakttas. 

I 3 mom. föreskrivs att skyddspolisen får lämna ut personuppgifter till övernationella register på samma sätt som den övriga polisen. I datasystem som grundar sig på internationellt samarbete inom Europol och Schengen och annat internationellt samarbete får uppgifter föras in direkt i enlighet med vad som föreskrivs i lagstiftningen om dem. Skyddspolisen använder redan dessa datasystem med stöd av den gällande lagen, så det föreslås inte några ändringar jämfört med nuläget. 

Enligt 4 mom. ska det när beslut fattas om utlämnande av uppgifter beaktas människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt och andra förpliktelser som binder Finland. Skyddspolisen ska i all sin verksamhet respektera de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt välja det motiverbara alternativ som bäst tillgodoser dessa rättigheter. På detta sätt ska skyddspolisen agera också när den behandlar personuppgifter och lämnar ut personuppgifter till utlandet. Vid prövningen ska i möjligaste mån också beaktas nivån på datasekretessen för den som tar emot uppgifterna och betydelsen av utlämnandet av uppgifterna med tanke på den registrerades rättigheter. 

I 5 mom. förbjuds utlämnande i stor omfattning av personuppgifter som hör till särskilda kategorier av personuppgifter till andra stater eller internationella organisationer. Behandlingen av uppgifter som hör till särskilda kategorier av uppgifter ingriper djupare i integritetsskyddet och man ska därför i regel förhålla sig restriktivt till utlämnande av dem till utlandet. Om det ändå är behövligt att lämna ut sådana uppgifter ska utlämnandet i enlighet med 1 och 2 mom. vara nödvändigt, noga övervägt och riktat. Momentet är nytt i förhållande till den gällande lagstiftningen. Utlämnande av personuppgifter av motsvarande slag är redan med stöd av den gällande lagen förbjudet och vid all behandling av personuppgifter ska principen om minsta olägenhet och de grundläggande fri- och rättigheterna och de mänskliga rättigheterna iakttas. För tydligheten skull införs momentet dock uttryckligen i lagen. 

Enligt 6 mom. ska det enligt behov eftersträvas att minska risken för att uppgifterna missbrukas genom att foga villkor till utlämnandet, vilka gäller ändamålet med personuppgifterna och vidareöverlåtelsen av dem. Också detta moment är nytt och där införs i lagen nuvarande praxis och den gällande princip som iakttas också utan någon uttrycklig bestämmelse. 

52 §.Rätt att få uppgifter. Skyddspolisen har med stöd av 1 mom. rätt att få sådana uppgifter ur den övriga polisens informationssystem som behövs för att skyddspolisen ska kunna utföra sin uppgifter. Inga ändringar jämfört med nuläget föreslås till denna del, den enda ändringen är att det föreskrivs särskilt om rätten att få uppgifter. Skyddspolisen är en polisenhet och behöver personuppgifter som polisen behandlar med stöd av 2 kap. eller någon annan lag för att utföra sin egen uppgift. Exempelvis registreras utlänningars signalementsuppgifter med stöd av 131 § i utlänningslagen i polisens register, som skyddspolisen dock använder i enlighet med det ursprungliga ändamålet med insamlingen av uppgifterna enligt 131 § i utlänningslagen för tryggande av statens säkerhet. De i 2 kap. avsedda personuppgifterna är genom en teknisk anslutning tillgängliga för skyddspolisen för skötseln av skyddspolisens uppgifter precis på motsvarande sätt som alla andra polisenheter har tillgång till dem. Personuppgifter som behandlas av den övriga polisen är en ytterst viktig informationskälla för skyddspolisen när den utför sina lagstadgade uppgifter. Med tanke på ett effektivt skyddande av den nationella säkerheten är det av största vikt att skyddspolisen, på samma sätt som för närvarande, har tillgång till personuppgifter som behandlas av den övriga polisen. 

I 16 § i polisens gällande personuppgiftslag föreskrivs om användning av uppgifterna för andra ändamål än de som uppgifterna har samlats in och registrerats för. I propositionen ingår en motsvarande bestämmelse i 2 kap. 13 § och i fråga om särskilda personkategorier i 14 §. Enligt motiveringen till den gällande lagen ingår i 16 § sådana bestämmelser som avviker från ändamålsbegränsningen som kan betraktas som nödvändiga i ett demokratiskt samhälle för att bl.a. skydda statens säkerhet, den allmänna säkerheten samt för brottsbekämpning.  

På grund av den föreslagna regleringsstrukturen och ändringen av skyddspolisens administrativa ställning har det bedömts att skyddspolisens rätt att få information inte längre kan ordnas som ett förenligt ändamål med behandlingen. En ytterligare skillnad i förhållande till den gällande lagen är att på behandlingen av personuppgifter vid skyddspolisen ska endast detta kapitel tillämpas. Av denna orsak ska det föreskrivas separat att skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. Denna paragraf ersätter alltså 16 § i den gällande lagen. 

Genom lösningen är syftet inte att ändra på skyddspolisens möjlighet att använda uppgifter som den övriga polisen har samlat in för olika användningsändamål i samband med skötseln av sina uppgifter. På motsvarande sätt som det konstateras om förebyggande och avslöjande av brott i 7 §, gäller det omfattande behovet av att länka samman och analysera uppgifter också skyddspolisens underrättelseverksamhet. På samma sätt som enligt den gällande lagen ska uppgifter som samlats in för att utreda eller förhindra brott kunna användas för att upprätthålla den nationella säkerheten. Dessutom ska skyddspolisen fortfarande ha den beskrivna rollen vid förundersökningar. Rätten att få uppgifter omfattar också uppgifter som i stor omfattning samlats in för administrativa ändamål. Exempelvis är uppgifterna i vapenregistret viktiga för att man ska kunna följa hur skyddspolisens målpersoner försöker skaffa vapen. På motsvarande sätt gäller rätten att få uppgifter också de uppgifter som hör till särskilda kategorier av personuppgifter, som skyddspolisen behöver för att kunna utföra sina uppgifter samt material som samlats in vid teknisk övervakning. I 2 kap. 13 § 1 mom. 6 punkten hänvisas vidare till den nationella säkerheten, som för sin del också speglar skyddspolisens rätt att använda uppgifterna. 

När lösningen bedömdes övervägdes också möjligheten att införa skyddspolisen som gemensamt personuppgiftsansvarig för polisens informationssystem. Under beredningen stannade man dock för att föreslå utlämnande av uppgifter genom en teknisk anslutning eller som en datamängd, med beaktande av att genom bestämmelserna om utlämnande avgränsas ansvaret mer tydligt i förhållande till den faktiska användningen av register. 

I 2 mom. föreskrivs att skyddspolisen har motsvarande rätt som den övriga polisen har att få uppgifter i enlighet 3 kap. ur andra myndigheters register och informationssystem. För att utföra sina uppgifter ska skyddspolisen få uppgifter av de aktörer som nämns och på det sätt som nämns i kapitlet. Skyddspolisen har också rätt att förelägga vite i enlighet med i 19 § på samma sätt som den övriga polisen. 

I 3 mom. föreskrivs att skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. Inte heller till denna del görs några ändringar i bestämmelserna i 13 § i den gällande lagen. 

53 §.Behandling av personuppgifter som erhållits i internationellt samarbete. Paragrafen motsvarar 31 § i den gällande lagen. Enligt bestämmelsen ska vid behandlingen av personuppgifter som fåtts från utländska säkerhets- och underrättelsetjänster i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidare överlåtelse av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. Med villkor avses endera uttryckligen nämnda villkor eller vedertagen praxis mellan parterna i informationsutbytet. I bestämmelsen ingår ingen förpliktelse att i fråga om materialets förstörande iaktta krav ställda av den som lämnar ut uppgifterna, utan till denna del tillämpas skyddspolisens egna gällande bestämmelser om bevaringstid för uppgifterna. Den nämnda begränsningen behövs i synnerhet för att säkerställa lagenligheten för informationsutbytet i situationer när uppgifter lämnats ut från Finland till utlandet på grund av de uppgifter som fåtts från utlandet. 

54 §.Skyddspolisens rätt att upprätthålla sitt personregister. Den föreslagna bestämmelsen är ny i förhållande till den gällande lagen. Syftet med bestämmelsen är att främja dataskyddet och säkerställa att de uppgifter som förts in i skyddspolisens register är korrekta och uppdaterade. Eftersom skyddspolisens personregister innehåller uppgifter som behandlas för skyddande av den nationella säkerheten, är registret föremål för särskilda informationssäkerhets- och dataskyddsrisker och synnerligen allvarliga hot om olaglig underrättelseverksamhet. För att hantera dessa har registret klassificerats på en hög informationssäkerhetsnivå och på grund av detta har systemet inga automatiserade kontakter utåt. Av denna orsak kan uppdateringen av uppgifterna inte heller göras på samma sätt som i system med en lägre informationssäkerhetsnivå, där uppgifterna kan uppdateras genom direkta förfrågningar om registrerade personer. Ett centralt krav är att det till ett register med lägre informationssäkerhetsnivå inte överförs uppgifter från ett register med högre informationssäkerhetsnivå i samband med en förfrågan. På grund av detta måste uppdateringen av uppgifter i register med hög informationssäkerhetsnivå göras så att det i det mottagande registret inte uppstår logguppgifter eller andra datamängder som gäller vilka uppgifter i skyddspolisens personregister som har uppdaterats. Avslöjande av objekt eller intressen som är föremål för skyddspolisens informationsinhämtning för utomstående eller för objekten själv kan äventyra den nationella säkerheten. 

Den föreslagna bestämmelsen kan med tanke på skyddet för personlig integritet inte anses vara särskilt betydande, eftersom möjligheten till jämförande inte utvidgar datainnehållet som skyddspolisen redan för närvarande har rätt till. Bestämmelsen gör lagstiftningen tydligare och mer exakt till den del skyddspolisen har rätt att få behövliga personuppgifter för skötseln av sina uppgifter och förvaltningen av sitt register genom en teknisk anslutning eller som en datamängd. Bestämmelsen ändrar inte på det rådande rättsläget, men beaktar de krav som den tekniska utvecklingen ställer på dataskyddet och registrets korrekthet. 

I 31 § i dataskyddslagen avseende brottmål föreskrivs om skydd av personuppgifter. Enligt den föreslagna paragrafen ska den personuppgiftsansvarige och personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Åtgärder som ska planeras och genomföras med beaktande av den senaste tekniska utveckling, kostnaderna för att genomföra åtgärderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter. 

I 19 § i dataskyddslagen avseende brottmål föreskrivs om logguppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden. Vid jämförelseuppgiftsgranskningen uppkommer ett spår i systemet för den som lämnar ut uppgifterna i fråga om den datamängd som skyddspolisen har begärt. I skyddspolisens register uppkommer på motsvarande sätt logguppgifter för mottagna uppgifter, eventuella jämförelseträffar och uppgifter som överförts till registret. Registret ska vara underställt ett heltäckande loggsystem så att effektiv laglighetskontroll kan utföras över registret. Den rättsliga grunden för varje utlämnande av uppgifter ska kunna säkerställas också i efterhand. 

I 1 mom. kopplas rätten att jämföra till den lagenliga rätten att få och lämna ut uppgifter. Bestämmelser om skyddspolisens rätt att få uppgifter finns i 52 § i denna lag. I bestämmelsen upprepas för tydlighetens skull att skyddspolisen trots sekretessbestämmelserna har rätt att få uppgifter för skötseln av sina uppdrag. En större datamängd ur det register varifrån uppgifterna lämnas jämförs genom automatisk behandling med personuppgifterna i skyddspolisens register. Personregistren står inte i direkt kontakt med varandra, utan de jämförs på en särskild teknisk plattform. Den tillräckliga mängden jämförelseuppgifter bedöms från fall till fall. Den kan gälla t.ex. ändrade uppgifter, ett visst urvalsförfarande eller hela registerinnehållet. Vid tolkningen och tillämpningen av bestämmelsen ska i enskilda fall alltid de grundläggande principerna för behandling av personuppgifter beaktas. 

Före överföringen av uppgifterna inleds ska det utredas hur man ur olika register och informationssystem tekniskt kan hämta ut de jämförelseuppgifter och övriga uppgifter som behövs och sammanställa dem i elektronisk form så att datainnehållet uppfyller jämförelsebehovet, och att hämtningen och sammanställningen av uppgifterna inte orsakar onödigt extra arbete och kostnader för den aktör som lämnar ut uppgifterna. Samtidigt minimeras behovet av extra behandling av uppgifterna. 

I 1 mom. föreskrivs också om skyldigheten att förstöra onödiga uppgifter. Efter att analysen och behandlingen av jämförelseuppgifterna har gjorts ska onödiga jämförelseuppgifter raderas utan dröjsmål. I praktiken jämförs uppgifterna i en informationssäker miljö och sedan förstörs de uppgifter som har visat sig vara onödiga omedelbart. För tydlighetens skull indelas behandlingen av personuppgifter närmare i olika delar i paragrafen. Utgångspunkten är att man med behandling av personuppgifter avser alla åtgärder i anslutning till behandlingen av personuppgifter. I detta sammanhang nämns som en särskild tröskel registreringen av personuppgifter. Indelningen är ett uttryck för att det i skyddspolisens register till följd av jämförelsen inte ska finnas personer som inte uppfyller de föreslagna kraven i 48 och 49 §. 

I 2 mom. är det fråga om att för jämförelse föra in personuppgifter i en separat del av skyddspolisens informationssystem, för vilka den nationella säkerheten föreskrivits som det ursprungliga eller som ett annat än det ursprungliga ändamålet med behandlingen. Behandlingen av uppgifter sker i sin helhet i ett informationssystem med hög informationssäkerhetsnivå utan onödiga överföringar av uppgifterna till informationssystem med lägre informationssäkerhetsnivå, vilket väsentligt höjer informationssäkerheten. Förfarandet behövs också med anledning av de informationssäkerhetskrav som beskrivs ovan. 

Syftet med bestämmelsen är att göra det möjligt att använda uppgifterna i situationer när behovet av att behandla samma uppgifter är återkommande. Av denna orsak, i motsats till i fråga om uppgifterna enligt 1 mom., behöver uppgifterna inte raderas omedelbart efter jämförelsen, om man vet att jämförelsen ska göras upprepade gånger. Den insamlade datamängden ska dock förstöras genast när syftet med behandlingen av uppgifterna har uppnåtts. Med datamängd avses i detta sammanhang en icke närmare definierad utifrån sitt användningsändamål avgränsad grupp, som kan vara t.ex. ett register, en del av ett register, en databas eller konsoliderade uppgifter. I bestämmelsen definieras inte särskilt de personuppgiftskategorier som får jämföras. Därmed kan också särskilda kategorier av personuppgifter bli aktuella. Förfarandet ska tillämpas endast i sådana situationer när det anses vara nödvändigt att överföra en större datamängd från ett informationssystem för att göra behandling av personuppgifter i ett visst definierat syfte möjlig. De insamlade uppgifterna ska hållas åtskilda från andra uppgifter. I praktiken innebär detta att uppgifterna ska bevaras i en del av informationssystemet i fråga om vilken rätten till tillträde är särskilt begränsad. Uppgifterna i fråga ska användas för att skydda den nationella säkerheten, som endera ska vara det ursprungliga användningsändamålet för uppgifterna eller ett annat än det ursprungliga föreskrivet ändamål. 

I 3 mom. föreskrivs att skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. Det kan medföra kostnader och extra arbete för den personuppgiftsansvarige att hämta uppgifter ur register för granskning och eventuellt kombinera dem. Detta ska emellertid om det är möjligt beaktas när uppgifter ur ett material begärs och när sådana begäranden avgränsas. I praktiken innebär polisens begäran om information alltid extra arbete för mottagaren av begäran. 

55 §.Behandling av personuppgifter för annat ändamål än det ursprungliga. Skyddspolisen får utöver vad som föreskrivs om överensstämmande ändamål i 5 § 3 mom. i dataskyddslagen avseende brottmål behandla uppgifter i skyddspolisens register även för med dem jämförbara ändamål, dvs. laglighetsövervakning, planering och utveckling. På samma sätt som i dagsläget får personuppgifter också för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. Det föreslagna momentet motsvarar 16 § 2 mom. om laglighetsövervakning samt planerings-, utvecklings- och utbildningsverksamhet i den gällande lagen. I den gällande lagen ändrades 16 § 2 mom. genom ändringen 1181/2013 som trädde i kraft vid ingången av 2014 så att användningen av uppgifterna i informationssystemet för laglighetsövervakning uttryckligen nämns som ett användningsändamål. Det är viktigt att hålla kvar denna bestämmelse, också med beaktande av behovet att stärka den ändamålsenliga tillsynen av informationssystemen. 

56 §.Inskränkningar i rätten till insyn. Bestämmelsen motsvarar 45 § i den gällande lagen. Inskränkningarna i rätten till insyn omfattar alla personuppgifter som skyddspolisen behandlar med stöd av detta kapitel. I dataskyddslagen avseende brottmål föreskrivs om indirekt rätt till insyn. Av denna orsak föreskrivs i denna paragraf att den indirekta rätten till insyn kan användas på det sätt som avses i 29 § i dataskyddslagen avseende brottmål. Inte heller till denna del föreslås några ändringar jämfört med nuläget. 

Rätten till insyn kan användas också med stöd av den gällande lagen genom att lämna en begäran om utövande av indirekt rätt till insyn till en polisinrättning och samtidigt bekräfta sin identitet. Till denna del iakttas vad polisen föreskriver om det praktiska ordnandet av utövande av indirekt rätt till insyn. I det fall att polisen gör det möjligt att elektroniskt lämna en begäran om utövande av rätt till insyn, får en begäran om utövande av rätt till insyn i fråga om personuppgifter som skyddspolisen behandlar lämnas på samma sätt via polisen. 

57 §.Radering av uppgifter. Bestämmelsen motsvarar 25 § i den gällande lagen. Som en ny bestämmelse införs i lagen en möjlighet att bevara uppgifter över 25 år, om det finns särskilda skäl i anslutning till skyddspolisens uppgifter att fortfarande bevara dem. I lagen införs skyldighet att bedöma behovet av uppgifterna och grunderna för behandlingen av dem med fem års mellanrum i det fallet att uppgifterna behöver bevaras längre än maximitiden enligt lagen. Om det konstateras att uppgifterna fortfarande behöver bevaras, görs en anteckning om att bedömningen gjorts i anslutning till personuppgiften. 

Den kortare bevaringstiden ska även gälla i 48 § 2 mom. avsedda uppgifter som behandlas för att bedöma deras betydelse. Uppgifterna ska raderas utan dröjsmål efter att de har bedömts vara onödiga, dock senast sex månader efter att de antecknats. Om raderingen av uppgifter ska det emellertid med anledning av behandlingens exceptionella natur föreskrivas direkt i samband med bestämmelsen om behandlingen i 48 § 2 mom. 

58 §.Uppgifter som konstaterats vara felaktiga. I paragrafen föreskrivs, på motsvarande sätt som i fråga om den övriga polisen, en möjlighet att bevara en uppgift som konstaterats vara felaktig om detta behövs för ett i paragrafen beskrivet ändamål. Enligt 2 mom. ska en uppgift som konstaterats vara felaktig raderas genast när den inte längre behövs för något av de ändamål som avses i paragrafen. 

59 §.Arkivering av uppgifter. I paragrafen ingår en informativ hänvisning till den lagstiftning som ska tillämpas på arkivfunktionens uppgifter och handlingar som ska arkiveras. 

8 kap. Särskilda bestämmelser

60 §.Personuppgiftsansvarig. I paragrafen preciseras vilken enhet inom polisen som är personuppgiftsansvarig för de personuppgifter som behandlas för de ändamål med behandlingen som föreskrivs i 2 kap. Eftersom det i propositionen inte föreslås bestämmelser om inrättande av sådana i 6 § 2 mom. i den gällande lagen avsedda personregister för användning av en eller flera polisenheter, är Polisstyrelsen personuppgiftsansvarig för all behandling av personuppgifter i enlighet med ändamålen i 2 kap. Polisstyrelsen är på motsvarande sätt som i 7 § i den gällande lagen personuppgiftsansvarig för det nationella systemet inom Schengens informationssystem. 

61 §.Ikraftträdande. Det föreslås att lagen träder i kraft så snart som möjligt. Genom lagen upphävs lagen av den 1 oktober 2003 om behandling av personuppgifter i polisens verksamhet (761/2003). 

I 3 mom. ingår en övergångsbestämmelse om raderingstider för personuppgifter som avses i 5—8, 11 och 12 §. Raderingen av uppgifterna ska genomföras i enlighet med denna lag inom fyra år från lagens ikraftträdande. 

På radering av personuppgifter som behandlas för att förebygga och avslöja brott samt för skötseln av polisens övriga lagstadgade uppgifter tillämpas under övergångstiden bestämmelserna om radering av uppgifter i informationssystemet för förvaltningsärenden, informationssystemet för polisärenden och polisens övriga personregister i lagen om behandling av personuppgifter i polisens verksamhet sådana de lyder vid ikraftträdande av denna lag. På radering av personuppgifter i anknytning till undersöknings- och övervakningsuppgifter tillämpas dock bestämmelserna om radering av uppgifter i informationssystemet för polisärenden sådana de lyder före ikraftträdandet av lagändring 1181/2013 vid ingången av 2014. 

Då lagändring 1181/2013 stiftades pågick redan reformen av informationssystemet för polisärenden (Vitja-projektet). De ändringar i fråga om raderingstiderna för uppgifter som trädde i kraft vid ingången av 2014 ansågs på grund av de stora kostnaderna inte vara ändamålsenliga att genomföra i det gamla informationssystemet för polisärenden. Av denna orsak infördes en övergångsbestämmelse i lagens ikraftträdandebestämmelse, enligt vilken den databehandling som avses i lagen ska genomföras i enlighet med lagen inom fyra år från ikraftträdandet av lagen. På grund av att Vitja-projektet försenades var det inte möjligt att enligt den tidsplan som förutsätts i ikraftträdandebestämmelsen i lag 1181/2013 genomföra uppdateringen av informationssystemet för polisärenden före den 1 december 2018. De bedömdes dessutom vara ändamålsenligt att vänta på bedömningen av ändringsbehoven i fråga om raderingstiderna i samband med totalreformen av lagen om behandling av personuppgifter i polisens verksamhet före genomförandet av ändringarna i fråga om informationssystemet för polisärenden i enlighet med lagändring 1181/2013. Övergångstiden för utplåning av uppgifter ur informationssystemet för polisärenden i enlighet med den gällande 22 § förlängdes med två år till den 1 januari 2020 genom lagändring 1052/2017. Det är ändamålsenligt att ytterligare förlänga övergångstiden, så att raderingstiderna kan genomföras i enlighet med 5 kap. i denna lag under övergångstiden. 

1.2  Skjutvapenlagen

113 §.Polisens skyldighet att föra register. I paragrafens 2 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

1.3  Lotterilagen

42 b §.Tillsynsregister över lotterier. I paragrafens 2 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

1.4  Lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet.

3 §.Definition av information och underrättelser. Hänvisningarna till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till hänvisningar till lagförslag 1. I sak motsvarar punkten den gällande lagen. 

5 §.Utlämnande av information och underrättelser på begäran. Hänvisningarna i 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av uppgifter i polisens verksamhet ändras till hänvisningar till de bestämmelser i första lagförslaget där det föreskrivs om villkoren för och beslutsfattandet om utlämnande av information. 

6 §.Utlämnande av information och underrättelser på eget initiativ. Hänvisningarna i 2 och 3 mom. till bestämmelserna i den gällande lagen om behandling av uppgifter i polisens verksamhet ändras till hänvisningar till de bestämmelser i första lagförslaget där det föreskrivs om villkoren för och beslutsfattandet om utlämnande av information. 

1.5  Lagen om genomförande av vissa bestämmelser i beslutet om Eurojust

10 §.Utlämnande av personuppgifter till Eurojust. Hänvisningen i 2 mom. till 29 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet ersätts med en hänvisning till 25 § i lagförslag 1, som ska tillämpas på utlämnandet av uppgifter i polisens personregister till Eurojust. 

1.6  Lagen om Enheten för utredning av grå ekonomi

12 §.Behandling av personuppgifter och rätt till insyn. I paragrafens 2 mom. ändras hänvisningen till 45 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet till en hänvisning till 42 § i lagförslag 1, som innehåller bestämmelserna om inskränkningar av den registrerades rätt till insyn. 

1.7  Lagen om identitetskort

17 §.Förvägrande av identitetskort och identitetskort utan rätt att resa. Hänvisningen i 5 mom. till det i 3 § i lagen om behandling av personuppgifter i polisens verksamhet avsedda informationssystemet för förvaltningsärenden ersätts med en mer allmän hänvisning till polisens register, eftersom det med avvikelse från den gällande lagen inte föreskrivs om informationssystemet för förvaltningsärenden i lagförslag 1. 

31 §.Identitetskortsregister. Enligt 1 mom. i den gällande lagen ska polisen föra ett register där det förs in sådana uppgifter om personers identitet som avses i 3 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet och sådana uppgifter om identitetskort och bilduppgifter som avses i 3 § 3 mom. 2 och 3 punkten i den lagen. Eftersom lagförslag 1 inte innehåller detaljerade bestämmelser om uppgiftsinnehållet i identitetskortsregistret, föreslås det att bestämmelserna om innehållet i registret flyttas till 31 § 1 mom. i lagen om identitetskort. I sak motsvarar innehållet det som definieras i 3 § i lagen om behandling av personuppgifter i polisens verksamhet. Dessutom ändras hänvisningarna i 2 mom. i den gällande lagen om behandling av personuppgifter i polisens verksamhet till hänvisningar till de bestämmelser i lagförslag 1 där det föreskrivs om användning, utlämnande och radering av uppgifterna i identitetskortsregistret. 

1.8  Lagen om nödcentralsverksamhet

17 §.Information som ska lagras i nödcentralsdatasystemet. Paragrafens 4 mom. ändras så att där hänvisas till 4 kap. i dataskyddslagen avseende brottmål och 6 kap. i lagen om behandling av personuppgifter i polisens verksamhet, i vilka ingår bestämmelserna om den registrerades rättigheter. 

19 §.Rätt att få information ur registren. Hänvisningarna i paragrafens 1 mom. 1 punkten till de informationssystem som avses den gällande lagen om behandling av personuppgiftslag i polisens verksamhet ändras till hänvisningar till bestämmelser i lagförslag 1. Till sitt sakinnehåll motsvarar punkten den gällande lagen. Dessutom upphävs 1 mom. 11 punkten som onödig. 

1.9  Lagen om kontrollavgift i kollektivtrafik

6 §. Biljettkontrollörer. I paragrafens 5 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

1.10  Lagen om besöksförbud

15 §.Registrering av besöksförbud. I paragrafen görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

1.11  Tvångsmedelslagen

9 kap. Tvångsmedel i samband med särskilda undersökningsmetoder

4 §.Bestämning och registrering av DNA-profiler. I paragrafens 3 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

10 kap. Hemliga tvångsmedel

62 §.Begränsning av partsoffentlighet i vissa fall. Paragrafens 1 mom. ändras så att det i stället för personuppgiftslagen och den gällande lagen om behandling av personuppgifter i polisens verksamhet hänvisas till dataskyddslagen avseende brottmål, som ska tillämpas på den registrerades rätt till insyn. Dessutom justeras språkdräkten i momentet. 

1.12  Lagen om Polisyrkeshögskolan

49 §.Behandling av känslig information. Hänvisningen i 1 mom. till sådana känsliga personuppgifter som avses i 11 § 3 och 4 punkten i personuppgiftslagen ändras genom att de personuppgifter som avses i 3 och 4 punkten räknas upp i 1 mom. I sak motsvarar punkten den gällande lagen. Dessutom ändras den svenska språkdräkten i paragrafen. 

1.13  Polislagen

5 kap. Hemliga metoder för inhämtande av information

41 §.Behandling av uppgifter om en informationskälla och betalning av arvode. I paragrafens 1 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

60 §.Begränsning av partsoffentlighet i vissa fall. Paragrafens 1 mom. ändras så att där i stället för personuppgiftslagen och den gällande lagen om behandling av personuppgifter i polisens verksamhet hänvisas till dataskyddslagen avseende brottmål, som innehåller bestämmelser om den registrerades rätt till insyn. Dessutom justeras språkdräkten i momentet. 

1.14  Lagen om behandlingen av personer i förvar hos polisen

1 kap. Allmänna bestämmelser

7 §.Ställningen för en väktare som är anställd hos en innehavare av näringstillstånd för säkerhetsbranschen. Hänvisningen i 5 mom. till 2 kap. i den gällande lagen om behandling av personuppgifter i polisens verksamhet ersätts med en hänvisning till polisens personregister, på vilka lagförslag 1 tillämpas. I sak motsvarar punkten den gällande lagen. Dessutom ändras den svenska språkdräkten i paragrafen. 

2 kap. Intagning i förvaringslokal

4 §.Ankomstgranskning och registrering av uppgifter. I paragrafens 2 mom. görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

7 kap. Besök och andra kontakter utanför förvaringslokalen

5 §.Besöksförbud. Enligt det gällande 5 mom. finns bestämmelser om registrering av uppgifter om besöksförbud i informationssystemet för polisärenden i lagen om behandling av personuppgifter i polisens verksamhet. Förhållandet mellan lagen om behandling av personuppgifter i polisens verksamhet och lagen om behandlingen av personer i förvar hos polisen förtydligas genom att 5 mom. ändras så att bestämmelser om behandlingen av uppgifter om besöksförbud i polisens register finns i lagförslag 1. 

1.15  Lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet

6 §.Behandlingen av uppgifter vid PTG-kriminalunderrättelseenheterna. Det förslås att paragrafen ändras så att i fråga om behandlingen av personuppgifter vid en PTG-kriminalunderrättelseenhet gäller vad som föreskrivs i lagen om behandling av personuppgifter i polisens verksamhet ( / ), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och lagen om behandling av personuppgifter inom Tullen ( / ). Den behandling av personuppgifter vid PTG-kriminalunderrättelseenheterna som avses i paragrafen genomförs med iakttagande av bestämmelserna om behandling och utlämnande av uppgifter i PTR-myndigheternas lagar om behandling av personuppgifter. Också den personuppgiftsansvarige bestäms i enlighet med de nämnda lagarna så att personuppgiftsansvarig är den PTG-myndighet som har inrättat registret. 

1.16  Passlagen

29 §. Passregister. Enligt 1 mom. i den gällande paragrafen ska polisen föra ett register där det förs in sådana uppgifter om en persons identitet som avses i 3 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (761/2003) och sådana passuppgifter, bilduppgifter och fingeravtrycksuppgifter i pass som avses i 3 § 3 mom. 2—4 punkten i nämnda lag. Eftersom lagförslag 1 inte innehåller detaljerade bestämmelser om uppgiftsinnehållet i passregistret, föreslås det att bestämmelserna om innehållet i registret flyttas till 29 § 1 mom. i passlagen. I sak motsvarar innehållet det som definieras i 3 § i lagen om behandling av uppgifter i polisens verksamhet. Dessutom ändras hänvisningarna i 2 mom. i den gällande lagen om behandling av personuppgifter i polisens verksamhet till hänvisningar till de bestämmelser i lagförslag 1 där det föreskrivs om användning, utlämnande och radering av uppgifterna i passregistret. 

1.17  Lagen om penninginsamlingar

27 §.Tillsynsregister över penninginsamlingar. Den informativa hänvisningen i 2 mom. till lagen om behandling av personuppgifter i polisens verksamhet ändras till att bestämmelser om behandlingen av personuppgifter i polisens register finns i lagförslag 1. 

1.18  Lagen om centralen för utredning av penningtvätt

3 §.Registret för förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism. I paragrafens 9 mom. görs en lagteknisk ändring så att där i stället för till den gällande lagen om behandling av personuppgifter i polisens verksamhet hänvisas till dataskyddsförordningen, dataskyddslagen avseende brottmål och lagförslag 1. 

1.19  Lagen om brottsbekämpning inom Tullen

2 kap. Tullens befogenheter vid tullbrottsbekämpning 

15 §.Identifiering. Hänvisningen i paragrafens 2 mom. till de personregister som avses i 2 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet ersätts med en hänvisning till 5, 6, 11 och 12 § i första lagförslaget. Hänvisningen motsvarar i fråga om 5 och 6 § till sitt innehåll den gällande, med undantag av i 2 § i den gällande lagen avsedda personregister som innehåller observationsuppgifter, som den föreslagna hänvisningen inte omfattar. Det föreslås dessutom att bestämmelsen utvidgas så att den också omfattar personuppgifter som behandlas med stöd av 11 och 12 §. En tullman har i enlighet med 2 kap. 15 § 3 mom. i lagen om brottsbekämpning inom Tullen rätt att gripa en person för identifiering. Den föreslagna utvidgningen av rätten att få uppgifter bedöms i förhållande till rätten att gripa stå i samklang med principen om en lindrigare metod. Den rätt att få information som föreslås för Tullen i 21 och 22 § i första lagförslaget innefattar att Tullen får i 11 och 12 § avsedda personuppgifter också för Tullens övriga lagstadgade uppgifter. 

1.20  Lagen om verkställighet av böter

19 §.Efterlysning. Hänvisningen i 2 mom. till de uppgifter som nämns i 2 § 5 punkten i den upphävda förordningen om polisens personregister (1116/1995) ersätts med en beskrivning av de uppgifter som ska nämnas i en efterlysning. I sak motsvarar punkten den gällande lagen. Dessutom ändras den svenska språkdräkten i paragrafen. 

1.21  Lagen om vittnesskyddsprogram

13 §.Register över vittnesskyddsprogram. Hänvisningarna till personuppgiftslagen i 1 och 3 mom. ersätts med hänvisningar till dataskyddslagen avseende brottmål, vars tillämpningsområde omfattar den behandling av personuppgifter som görs för skötseln av de uppgifter som föreskrivs för centralkriminalpolisen i lagen om vittnesskyddsprogram. 

1.22  Säkerhetsutredningslagen

25 §.Informationskällor vid normal säkerhetsutredning av person. Hänvisningen i 1 mom. 4 punkten till informationssystemet för polisärenden, informationssystemet för förvaltningsärenden och skyddspolisens funktionella informationssystem i polisens gällande personuppgiftslag ersätts med en hänvisning till bestämmelserna i lagförslag 1. 

I sak motsvarar punkten till största delen den gällande lagen. I informationskällorna vid normal säkerhetsutredning av person ingår dock utöver de uppgifter som ingår i det informationssystem för polisärenden som avses i 2 § och det informationssystem för förvaltningsärenden som avses i 3 § i polisens gällande personuppgiftslag också andra uppgifter som polisen har rätt att behandla med stöd av 5, 6, 11 och 12 § i lagförslag 1. Som informationskällor vid normal säkerhetsutredning av person kan därmed användas bl.a. personuppgifter som behandlas i polisens fältuppgifter och för särskilt i lag föreskrivna övervakningsuppgifter. Dessutom får användas personuppgifter i anslutning till uppgifter inom tillståndsförvaltningen, såsom personuppgifter som behandlas för uppgifter som föreskrivs för polisen i körkortslagen, lagen om skjutbanor, lagen om penningtvätt och vägtrafiklagen, om dessa uppgifter är av betydelse när säkerhetsutredningen görs. En normal säkerhetsutredning av person får dock inte grunda sig på uppgifter som behandlas för bedömning av deras betydelse med stöd av 5 § 3 mom. eller 48 § 2 mom., och inte heller på i 12 § 2 mom. avsedda personuppgifter som gäller kunder hos penningspelsbolag och andra näringsidkare och sammanslutningar som polisen enligt lotterilagen och lagen om penningtvätt ska övervaka. 

Språkdräkten ändras i 2 mom. och hänvisningarna till informationssystemet för misstänkta ersätts med en hänvisning till bestämmelserna i 7 § 2 mom. och 8 § i lagförslag 1. Också till denna del motsvarar regleringen i huvudsak den nuvarande. En anmälan av centralkriminalpolisen får inte grunda sig på sådana observationsuppgifter som avses i 7 § 5 mom. eller på uppgifter som med stöd av 7 § 6 mom. behandlas för bedömning av huruvida de är av betydelse. Informationsinnehållet utvidgas dock jämfört med informationssystemet för misstänkta i den gällande lagen så att det innefattar 1) personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott, 2) personer som har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, samt 3) personer som är föremål för observation i enlighet med 5 kap. 13 § i polislagen. Informationsinnehållet innefattar också sådana personer som ingår i de nämnda kategorierna av personer, vars uppgifter med stöd av 6 § 2 mom. 2 punkten i den gällande lagen behandlas i temporära register för brottsanalys som behövs för att förhindra, avslöja eller utreda ett brott eller en brottshelhet. En anmälan av centralkriminalpolisen får dock användas när en normal säkerhetsutredning av person görs endast i enlighet med förutsättningarna motsvarande dem i den gällande lagen. 

Ändringarna i personkategorier som polisen behandlar med stöd av 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § och i informationsinnehållet i jämförelse med den gällande lagen beskrivs närmare i detaljmotiveringen till lagförslag 1. 

32 §.Begränsning av användningen av uppgifter i säkerhetsutredning av person. Hänvisningen i 1 mom. 2 punkten till uppgifter om iakttagelser eller händelser i informationssystemet för polisärenden upphävs som onödig, eftersom det i informationskällorna för en normal säkerhetsutredning som avses i 25 § i fortsättningen inte ingår observationsuppgifter i enlighet med den gällande lagen om behandling av uppgifter i polisens verksamhet. Hänvisningen i 3 mom. till informationssystemet för polisärenden, informationssystemet för förvaltningsärenden och skyddspolisens funktionella informationssystem ersätts med en hänvisning till bestämmelserna i lagförslag 1. Det föreslås dock inte att centralkriminalpolisens i 25 § 2 mom. avsedda anmälningar med de uppgifter som avses i 7 § 2 mom. i lagförslag 1 som grund förhindras genom en begränsning i användningen. 

1.23  Utlänningslagen

131 §.Upptagande av signalement. Hänvisningen i den sista meningen i 2 mom. till 9 § i lagen om utlänningsregistret ersätts med en hänvisning till 34 § i lagförslag 1, där det föreskrivs om radering av signalementsuppgifter som registrerats med stöd av 131 §. Också 23 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet innehåller bestämmelser om radering av signalementsuppgifter, men i 131 § 2 mom. i utlänningslagen hänvisas felaktigt till bestämmelsen om radering i 9 § i lagen om utlänningsregistret. Paragrafens 3 mom. ändras dessutom så att där hänvisas till bestämmelserna i lagförslag 1. Dessutom justeras språkdräkten i momentet. I sak motsvarar 3 mom. den gällande lagen. 

1.24  Lagen om utlänningsregistret

3 a §.Användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting. Paragrafens 2 mom. föreslås bli ändrat så att där hänvisas till bestämmelserna i lagförslag 1. I sak motsvarar punkten den gällande lagen. 

3 b §.Användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden. Hänvisningen i 2 mom. till det i 3 § i lagen om behandling av personuppgifter i polisens verksamhet avsedda informationssystemet för förvaltningsärenden ersätts med en mer allmän hänvisning till polisens register, eftersom de fingeravtrycksuppgifter som registreras i polisens register med stöd av 131 § i utlänningslagen enligt lagförslag 1 inte är en del av informationssystemet för förvaltningsärenden. Dessutom ändras paragrafhänvisningarna i 2 och 3 mom. så att där hänvisas till bestämmelserna i lagförslag 1. 

4 a §.Den registrerades rättigheter. Paragrafens 1 mom. föreslås bli ändrat så att där hänvisas till bestämmelserna om tillgodoseende av en registrerads rätt till insyn i lagförslag 1. 

1.25  Lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor

9 §.Registrering av skyddsåtgärder. I paragrafen görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

1.26  Lagen om privata säkerhetstjänster

86 §.Uppgifter för tillsynen över säkerhetsbranschen. I paragrafen görs en lagteknisk ändring så att hänvisningen till den gällande lagen om behandling av personuppgifter i polisens verksamhet ändras till en hänvisning till lagförslag 1. 

Ikraftträdande

Dataskyddsförordningen började tillämpas den 25 maj 2018, och den utsatta tiden för det nationella genomförandet av dataskyddsdirektivet var den 6 maj 2018. De lagar som ingår i denna proposition föreslås träda i kraft så fort som möjligt efter att de allmänna lagarna har trätt i kraft. 

I lagförslag 1 ingår en övergångsbestämmelse som gäller raderingstider för personuppgifter. Raderingen av personuppgifter ska genomföras i enlighet med den föreslagna lagen inom fyra år från lagens ikraftträdande. 

Förhållande till grundlagen samt lagstiftningsordning

3.1  Behandling av personuppgifter

Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme dessutom begränsas av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet. Lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone om syftet med registreringen, uppgifternas innehåll, det tillåtna ändamålet för användningen inklusive rätten att utlämna registrerade uppgifter samt den tid uppgifterna finns kvar i registret och den registrerades rättsskydd (t.ex. GrUU 31/2017 rd, GrUU 13/2016 rd). Kravet på att bestämmelserna ska utfärdas genom lag sträcker sig även till möjligheten att lämna ut personuppgifter genom en teknisk anslutning. Även om möjligheten att sammanslå registeruppgifter ska föreskrivas genom lag (GrUU 17/2007 rd och GrUU 30/2005 rd). Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande, exakt och noggrant avgränsad. 

Europeiska domstolen för de mänskliga rättigheterna har i sin rättspraxis ansett att artikel 8 i Europakonventionen, som gäller skyddet för privatliv, ska tillämpas på registrering av personuppgifter som rör en persons privatliv. Domstolen har konstaterat en överträdelse av konventionen bland annat för att den nationella lagstiftningen inte hade innehållit bestämmelser om datainnehåll, bevaringstider och de persongrupper om vilka uppgifter fick samlas (t.ex. Rotaru mot Rumänien 4.5.2000, punkterna 45—63 i domen). Europadomstolen har i flera sammanhang konstaterat att enbart det att personuppgifter införs i myndighetsregister innebär att skyddet för privatlivet begränsas (t.ex. S. och Marper mot Förenade kungariket, 4.12.2008, punkt 67 och Leander mot Sverige, 26.3.1987, punkt 48). För att en begränsning av integritetsskyddet ska vara tillåten, måste den grunda sig på lag, vara nödvändig i ett demokratiskt samhälle och stå i rätt proportion till det eftersträvade syftet. I rättspraxisen har t.ex. ordningsstörningar, brottsbekämpning och upprätthållande av den nationella säkerheten i allmänhet ansetts vara en godtagbar grund för t.o.m. långtgående begränsningar av integritetsskyddet. Staten har också i vissa situationer en bred prövningsmarginal när det gäller vad som är nödvändigt, t.ex. i fråga om upptagning av personuppgifter om personer som misstänks för terroristbrott (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88). En förutsättning för att prövningsmarginalen ska kunna utnyttjas är dock att effektiva tillsynsarrangemang används. 

Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Grundlagsutskottet har ansett att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (t.ex. GrUU 14/2018 rd, GrUU 54/2014 rd, GrUU 10/2014 rd). 

Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 14/2018 rd och de i det nämnda utlåtanden). Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Enligt utskottet ska skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och dataskyddslagen. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen och dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 14/2018 rd, GrUU 2/2018 rd). 

Däremot innehåller dataskyddsdirektivet inte sådan detaljerad reglering som bildar en tillräcklig regleringsgrund med tanke på skyddet för privatlivet och personuppgifter, som tryggas i 10 § i grundlagen. När det gäller behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål, ska man därför alltjämt ta i beaktande grundlagsutskottets nämnda utlåtandepraxis. Regleringen om behandling av personuppgifter ska i sådana här regleringssammanhang där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras fortfarande bedömas utifrån utskottets tidigare praxis som betonar bestämmelser på lagnivå, exakthet och omfattning. Enligt grundlagsutskottet förutsätter tydligheten av lagstiftningen gällande personuppgifter dock att det inte i speciallagstiftningen ingår sådana regleringehelheter om vilka det föreskrivs tillräckligt exakt och noggrant i dataskyddaslagen avseende brottmål. Det finns inte något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (GrUU 26/2018 rd, GrUU 14/2018 rd). 

Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd) särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt grundlagsutskottet räcker det i princip med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Utskottet anser att de detaljerade bestämmelserna i förordningen också gör det möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. 

Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd). Dataskyddsförordningens riskbaserade infallsvinkel innebär enligt grundlagsutskottet att det är möjligt att införa detaljerad och exakt nationell lagstiftning också när behandlingen av uppgifterna utgör en särskild risk på andra grunder än de som anges i artiklarna 9 och 10 i förordningen. Den nationella lagstiftningen ska också då vara förenlig med artikel 6 i förordningen (GrUU 15/2018 rd). 

Grundlagsutskottet har påpekat att lagstiftningen om behandling av personuppgifter är tungrodd och komplicerad (t.ex. GrUU 14/2018 rd, GrUU 2/2018 rd, GrUU 49/2017 rd, GrUU 31/2017 rd, och GrUU 71/2014 rd). I polisens gällande personuppgiftslag finns i viss mån drag av överreglering. Polisen behandlar dock ofta också uppgifter som hänför sig till särskilda grupper av personuppgifter. För att genomföra en individs fri- och rättigheter samt med tanke på rättsskyddet är det nödvändigt att föreskriva om behandlingen av personuppgifter inom polisväsendet på ett sätt som kompletterar dataskyddsförordningen och dataskyddslagen. Propositionen innehåller också bestämmelser om behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål. Till den här delen är det nödvändigt att genom speciallagstiftning specificera rättsgrunden för och datainnehållet i behandlingen av personuppgifter. 

Grundlagsutskottet har ansett att sådan reglering där de uppgifter som införs i personregister är tillräckligt exakt definierade är tillräckligt noggrant avgränsad (GrUU 51/2002 rd och GrUU 18/2012 rd). Däremot har grundlagsutskottet ansett att det är problematiskt om bestämmelsens formulering i sista hand ger myndigheten rätten att själv bestämma innehållet av de personuppgifter som ska registreras (GrUU 18/2012 rd). Grundlagsutskottet har ansett att regleringen i lagen i det stora hela ska vara så pass exakt att man genom den kan erbjuda tillräcklig förutsägbarhet om myndigheternas verksamhet (GrUU 15/1996 rd). 

I 2 kap. i polisens personuppgiftslag ska det föreskrivas om de ursprungliga ändamålen med behandlingen av personuppgifter och om deras behandling för andra ändamål än det ursprungliga. En reglering som grundar sig på ändamålen med behandlingen omfattar den största delen av den behandlingen av personuppgifter som sker för skötseln av polisens uppgifter, jämfört med regleringen av den gällande behandlingen av personuppgifter, som gäller endast de polisens informationssystem som nämns i lag. Till den ändamålsbaserade regleringen hör alla faser i behandlingen av personuppgifter där det är fråga helt eller delvis automatiserad av personuppgifter samt om annan behandling av personuppgifter, då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Det föreslås heltäckande och detaljerade bestämmelser om de personuppgifter som får registreras, men regleringstekniken skiljer sig från den gällande lagen. Regleringen kan anses uppfylla de förutsättningar som grundlagsutskottet ställt. 

På samma sätt som i den gällande lagen föreskrivs det detaljerat även om bevaringstiderna för personuppgifter för varje enskilt behandlingsändamål. Europadomstolen har fäst uppmärksamhet vid att även förvaringstiderna bör vara proportionella i förhållande till syftet med behandlingen av personuppgifterna och att förvaringstiderna bör begränsas (S. och Marper mot Förenade kungariket, punkterna 107 och 108 i domen). Även grundlagsutskottet har ansett att regleringen om bevaringstiden på lagnivån ska vara heltäckande och detaljerad och att det i bestämmelserna om bevaringstiden ska ingå en tidsbestämmelse (till exempel GrUU 20/2006 rd). I bestämmelserna om bevaringstider i 5 kap. i lagförslag 1 har behovet av att bevara uppgifterna om ett ärende tillräckligt länge för att garantera både den registrerades och polisen rättsskydd. Det föreslås att raderingstiderna för uppgifter i anslutning till beslutsfattandet inom tillståndsförvaltningen till vissa delar förlängs för att trygga förutsättningarna för tillståndsprövningen i enlighet med speciallagstiftningen. Bevaringstiderna för personuppgifter som ansluter sig till samma ärende föreslås bli förenhetligade för att säkerställa uppgifternas integritet. Bedömningen är att de föreslagna bestämmelserna uppfyller de krav som framgår av grundlagsutskottets tolkningspraxis. 

I lagförslag 1 i propositionen ingår bestämmelser om behandling av personuppgifter för bedömning av deras betydelse (5 § 3 mom., 7 § 6 mom. och 48 § 2 mom.). Oundvikligen kommer det också att registreras uppgifter som vid en bedömning av deras betydelse visar sig vara betydelselösa med tanke på polisens arbetsuppgifter. Det är fråga om en åtgärd som begränsar skyddet för privatlivet. De registrerades rättssäkerhet förbättras emellertid av att uppgifter får bevaras högst sex månader och att uppgifter som bedömts vara onödiga ska raderas utan dröjsmål redan innan det har gått sex månader. Enligt kraven i den allmänna dataskyddslagstiftningen ska onödiga personuppgifter raderas utan obefogat dröjsmål. Den föreslagna bevaringstiden på sex månader preciserar detta krav enligt den allmänna lagstiftningen och säkerställer att det nödvändiga förberedande behandlingsskedet för personuppgifterna pågår bara en begränsad tid. Till denna del kan propositionen för sin del också förbättra skyddet av personlig integritet, jämfört med nuläget som saknar bestämmelser om hur länge det förberedande behandlingsskedet får pågå. 

3.2  Behandling av uppgifter som hör till särskilda kategorier av personuppgifter

Grundlagsutskottet har påpekat att behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet, varför bestämmelser som tillåter behandlingen av dylika uppgifter ska vara exakta (GrUU 25/1998 rd, GrUU 51/2002 rd). Beträffande polisens behandling av personuppgifter har grundlagsutskottet även ansett att det om befogenheter att behandla känsliga uppgifter ska föreskrivas exakt genom lag, eftersom den allmänna lagstiftningen inte skapar sådana befogenheter (GrUU 51/2002 rd). 

Grundlagsutskottet noterar i sitt utlåtande 15/2018 rd att de känsliga uppgifter som avses i 11 § i personuppgiftslagen inte är direkt jämförbara med de särskilda kategorier av personuppgifter som beskrivs i artikel 9 i dataskyddsförordningen. Inte heller de uppgifter som i grundlagsutskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, motsvarar till sina områden inte helt bestämmelserna i personuppgiftslagen. Grundlagsutskottet har ansett att exempelvis biometriska identifieringsuppgifter kan jämställas med känsliga uppgifter (t.ex. GrUU 13/2016 rd). Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (GrUU 15/2018 rd, GrUU 14/2018 rd). Likväl menar utskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. Också i skäl 51 till dataskyddsförordningen understryks att de särskilda kategorierna av personuppgifter är särskilt känsliga. 

Känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Dataskyddsförordningen och dataskyddsdirektivet innehåller bestämmelser om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter. I dem ställs strängare krav på behandlingen av dessa uppgifter, inklusive kraven på skyddandet av personuppgifter. Strängare krav än tidigare i den allmänna lagstiftningen i fråga om behandling av personuppgifter som hör till särskilda kategorier av personuppgifter förbättrar de registrerades rättigheter. Detta har betydelse speciellt när behandlingen gäller biometriska och genetiska uppgifter, som på tillämpningsområdet för dataskyddsdirektivet och dataskyddslagen avseende brottmål får behandlas enbart när det är nödvändigt. Villkoren för behandling av känsliga personuppgifter skärps också inom förordningens tillämpningsområde. Det är i regel förbjudet att behandla sådana personuppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen. Artikel 9.1 i förordningen innehåller en uttömmande förteckning över de undantag med stöd av vilka det är tillåtet att behandla dessa uppgifter. Inom bägge dataskyddsrättsakternas tillämpningsområde ställs också särskilda krav på skyddet av känsliga personuppgifter. 

Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter behandlas både för förebyggande, avslöjande och utredning av brott samt i arbetsuppgifter inom tillståndsförvaltningen. Därtill behandlar polisen för utförande av sina uppgifter även andra uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. 

Beträffande ändamål som hör till dataskyddsförordningens tillämpningsområde baserar sig behandlingen av särskilda kategorier av personuppgifter i lagförslagen 1 och 2 på artikel 9.2 g i förordningen, enligt viken särskilda kategorier av personuppgifter kan behandlas när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska dessutom stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den registrerades grundläggande fri- och rättigheter och intressen skyddas utöver genom de skyddsåtgärder som definieras i dataskyddsförordningen och dataskyddslagen också av bl.a. förutsättningarna för behandlingen av personuppgifter i lagförslag 1, förutsättningarna för utlämnande av uppgifter samt bevaringstiderna för uppgifterna. Som en skyddsåtgärd kan för den delen också betraktas speciallagstiftningen om uppgifterna i samband med tillståndsförvaltningen, där det föreskrivs om ändamålet med behandlingen av personuppgifterna samt om datainnehållet i registren. 

Behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen. Bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål. 

3.3  Behandling av personuppgifter för förebyggande och avslöjande av brott

Det föreslås att bestämmelserna om informationssystemet för misstänkta i den gällande lagen samt om temporära analysregister för förebyggande och avslöjande av brott ersätts med bestämmelser om behandling av personuppgifter för förbyggande och avslöjande av brott. Den föreslagna 7 och 8 § innebär en riksomfattande utvidgning av informationsinnehållet i registret både vad gäller uppgiftsinnehållet och de kategorier av personer som får registreras. Även med tanke på tillämpningen av dessa bestämmelser bör man beakta kraven på proportionalitet och ändamålsbundenhet, enligt vilka skyddet för den registrerades privatliv får inskränkas enbart i den mån det är nödvändigt och står i rätt proportion till det eftersträvade målet. Det föreslås att det i bestämmelsen preciseras vilka de kategorier av personer är vars uppgifter får registreras och behandlas för behandlingsändamålet i fråga. Dessutom föreskrivs om uppgiftskategorier som får behandlas för det aktuella ändamålet med behandlingen. Till de behandlade uppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 

I den föreslagna bestämmelsen om behandling av personuppgifter för förebyggande och avslöjande av brott har särskild uppmärksamhet ägnats de kriterier för registrering och behandling som gäller olika kategorier av personer. I bestämmelsen föreslås en lägre tröskel för registrering och behandling av uppgifter till den del det är fråga om personer med en faktisk koppling till brottslig verksamhet. Genom bestämmelsen blir det möjligt att i stor omfattning på olika sätt behandla uppgifter för personer som anknyter till brottslig verksamhet för att klarlägga kopplingarna mellan dem. 

Grundlagsutskottet har tidigare fäst vikt vid att det i motiveringen anges att också uppgifter om potentiella eller verkliga brottsoffer får införas i informationssystemet för misstänkta såsom uppgifter som hänför sig till brottet. Innehållet i 4 § i den gällande lagen omfattar dock inte detta syfte (GrUU 51/2002 rd). Det att registrering av namn på offer framgår endast av motiveringen till bestämmelsen kan inte anses vara noggrant avgränsad reglering på det sätt som framgår av grundlagsutskottet tolkningspraxis. 

Polisen behöver i vissa situationer också behandla uppgifterna för sådana personer som är utsatta eller kan utsättas för hot om våld. Det kan vara nödvändigt att behandla uppgifterna för att garantera att polisen vid behov kan ge en person som ska betraktas som målsägande, offer eller vittne skydd. För dessa gäller dock enligt den föreslagna paragrafen en högre tröskel för behandlingen av personuppgifter. Genom en högre tröskel för behandlingen av personuppgifter säkerställs att skyddet för privatlivet begränsas endast till den del det är nödvändigt för att förhindra, avslöja eller utreda den antagna brottsliga verksamheten. Med tanke på dessa personkategorier ska också särskild uppmärksamhet fästas vid garantierna för rättsskyddet. Den personuppgiftsansvarige ska för att garantera rättsskyddet i enlighet med kraven i dataskyddsdirektivet och dataskyddslagen avseende brottmål bl.a. vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. 

När det gäller observationsuppgifter föreslås det inga ändringar jämfört med de gällande bestämmelserna. Grundlagsutskottet har beträffande observationsuppgifter konstaterat att det potentiellt handlar om en mycket omfattande datamängd som berör privatlivet (GrUU 18/2012 rd). Observationsuppgifter är dessutom ofta av otillförlitligt slag och det finns risk för att oskyldiga personer stämplas. Grundlagsutskottet har vid behandlingen av uppgifter av denna typ utöver de ovan relaterade allmänna iakttagelserna påpekat vikten av att försäkra sig om uppgifternas korrekthet och tillförlitlighet (GrUU 27/2006 rd) och behovet att komplettera uppgifterna med en bedömning av uppgiftslämnarens tillförlitlighet och uppgifternas riktighet (GrUU 51/2002 rd). Därtill avses bevaringstiden av observationsuppgifter vara kort, vilket gör att behandlingen av personuppgifter som inte har verifierats eller vars betydelse är osäker bara begränsar skyddet för privatlivet till den del detta är nödvändigt för att polisen kan utföra sin uppgift. Om regleringen är preciserad på detta sätt i fråga om informationsinnehåll, användningsändamål och lagringstid har grundlagsutskottet ansett att den inte är problematisk med avseende på skyddet för personuppgifter. Med tanke på observationsuppgifternas natur har grundlagsutskottet ändå ansett det vara viktigt att villkoren för lagring av uppgifter tolkas snävt och i synnerhet så att observationsuppgifter får lagras endast om det finns misstanke om brottslig verksamhet (GrUU 18/2012 rd). 

3.4  Behandling av personuppgifter för andra ändamål än det ursprungliga och utlämnande av personuppgifter

I artikel 5.1 b i dataskyddsförordningen föreskrivs om ändamålsbegränsning när det gäller personuppgifter. Enligt den ska de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt skäl 50 till förordningen kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. För att kunna säkerställa huruvida ändamålet för ytterligare behandling är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades, ska den personuppgiftsansvarige, efter att ha uppfyllt alla krav som gäller lagligheten av den ursprungliga behandlingen, bl.a. beakta sambanden mellan dessa ändamål och ändamålen för den panerade ytterligare användningen, den situation i vilken personuppgifterna har samlats, i synnerhet den registrerades rimliga förväntningar i anknytning till den ytterligare behandlingen som baserar sig på förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas natur, den planerade ytterligare användningens konsekvenser för den registrerade samt det att ändamålsenliga skyddsåtgärder vidtas både i den ursprungliga och i den ytterligare behandlingen. 

När behandlingen av personuppgifter baserar sig på artikel 6.1 c eller e i förordningen, kan man inom det nationella handlingsutrymmet i enlighet med artikel 6.3 föreskriva om de parter och ändamål för vilka personuppgifter får lämnas ut. Om det anses att ändamålet för behandlingen av uppgifter ändras till följd av att de lämnas ut, ska förutsättningarna för utlämnandet bedömas utifrån principen om ändamålsbegränsning såsom det föreskrivs i artikel 6.4 i dataskyddsförordningen. Bestämmelsen om utlämnande ska vara nödvändig och i rätt proportion med tanke på tryggandet av de mål som avses i artikel 23.1. 

Enligt artikel 4 i dataskyddsdirektivet ska medlemsstaterna bl.a. föreskriva att personuppgifter ska behandlas enligt lagen och att de samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Behandling som utförs av samma eller annan personuppgiftsansvarig för annat ändamål än det ursprungliga är dock tillåten, om det föreskrivs om behandlingen i lagen och användningen för detta andra ändamål är nödvändig och i rätt proportion. Kravet på att behandlingen överensstämmer med lag specificeras i artikel 8 i direktivet, enligt vilken behandlingen är laglig enbart om och bara till den del den är nödvändig för att en behörig myndighet kan genomföra en uppgift inom direktivets tillämpningsområde och om den baserar sig på lagen. 

Bestämmelser om ändamålsbegränsning finns i 5 § i dataskyddslagen avseende brottmål. Enligt 1 mom. i den nämnda paragrafen får den personuppgiftsansvarige samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål. Enligt 2 mom. i nämnda paragraf får personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. i dataskyddslagen avseende brottmål behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. 

Grundlagsutskottet har betonat behovet av att säkerställa att principen om ändamålsbundenhet iakttas vid behandlingen av personuppgifter (GrUU 20/2016 rd, GrUU 13/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 25/2009 rd). Utskottet har särskilt i samband med bedömning av behandling av biometriska identifikationsuppgifter i nationell lagstiftning understrukit att det med omfattande register för biometriska kännetecken är skäl att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Enligt utskottets uppfattning kan i så fall bara exakt avgränsade och mycket små undantag göras från ändamålsbundenheten. Regleringen har inte fått leda till att annan verksamhet än sådan som är förknippad med det ursprungliga ändamålet blir registrets huvudsakliga eller ens ett viktigt användningssätt (till exempel GrUU 47/2010 rd). 

I lagförslag 1 i propositionen definieras och specificeras det för vilka uppgifter och ändamål ytterligare behandling bör betraktas som förenlig och laglig. Bestämmelserna om behandlingen av uppgifter för något annat är deras ursprungliga ändamål utvidgas till vissa delar. Syftet är att genom bestämmelserna säkerställa polisens verksamhetsförutsättningar t.ex. i situationer när ett effektivt förebyggande, avslöjande och utredande av brott kräver att personuppgifter kontrolleras i flera personregister. I regleringen har även beaktats användning av uppgifter som ursprungligen samlats och registrerats för ändamål som överensstämmer med dataskyddsdirektivet och dataskyddslagen avseende brottmål för utredning av förutsättningarna för beviljandet eller giltigheten av tillstånd. De viktigaste ändringsförslagen med tanke på skyddet av personlig integritet gäller biometriska uppgifter i enlighet med passlagen och lagen om identitetskort, identifieringsuppgifter för utlänningar som behandlas med stöd av 131 § i utlänningslagen och kunskapsunderlaget för beslutsfattande inom tillståndsförvaltningen. 

Biometriska uppgifter enligt passlagen och lagen om identitetskort 

Grundlagsutskottet har bedömt att användning av fingeravtrycksuppgifter i passregistret för att identifiera ett offer som annars inte kan identifieras kan ses som ett sådant exakt avgränsat och mycket litet undantag från ändamålsbundenheten som utskottet krävt (GrUU 47/2010 rd). Det föreslås att användningen av biometriska uppgifter som gäller särskilda kategorier av personuppgifter i enlighet med passlagen och identitetskortslagen avgränsas så att den blir snävare än i den gällande lagen. Begränsningarna för behandlingen av uppgifter i 16 a § i den gällande lagen föreslås bli utvidgade så att de utöver uppgifter i passregistret och identitetskortsregistret också gäller ansiktsbilder som behandlas i biometrisk form. Utlämnandet av ansiktsbilder i biometrisk form begränsas till motsvarande situationer som när det gäller utlämnade av fingeravtryck. 

Signalement i enlighet med 131 § i utlänningslagen 

I lagförslag 1 föreslås en utvidgning i förhållande till den gällande lagen till den del det gäller fingeravtryck som samlats in med stöd av 131 § i utlänningslagen, så att dessa kan utnyttjas för förebyggande, avslöjande och utredning av terroristbrott och andra grova brott. Förslaget innebär en inskränkning i skyddet för privatlivet för personer som registrerats med stöd av utlänningslagen. Skyddet av personlig integritet förbättras dock jämfört med nuläget av de strikta begränsningarna för användning av uppgifterna för brottsbekämpning utöver fingeravtryck också gäller ansiktsbilder som behandlas i biometrisk form. I den gällande lagen finns inte motsvarande begränsningar om fortsatt behandling för ansiktsbilder som i fråga om fingeravtryck. 

Bestämmelser om det ursprungliga ändamålet för insamling och registrering av uppgifter för identifiering av utlänningar finns i 131 § i utlänningslagen. Grundlagsutskottet har i sitt utlåtande (GrUU 47/2010 rd) förutsatt att användningen av fingeravtryck som tas med stöd av 131 § i utlänningslagen ska begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för. Enligt utskottet kan ett sådant ändamål i sig också ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett samband med det ursprungliga insamlings- och registreringsändamålet. Användning av biometriska identifieringsuppgifter för utlänningar för andra ändamål med behandlingen än de ursprungliga begränsas till sådana terroristbrott och andra grova brott som avses i Eurodacförordningen och behandlingen ska dessutom vara nödvändig. Med beaktande av de föreslagna ändringarna bedöms förslaget uppfylla kravet på proportionalitet i lagstiftningen i enlighet med grundlagen. Det innebär inte heller något sådant undantag från ändamålsbegränsningen som skulle sträcka sig längre än vad som är nödvändigt för att nå målet. Den föreslagna utvidgningen bedöms närmare nedan utifrån tillgodoseendet av likställighetsprincipen enligt grundlagen. 

Användning av personuppgifter som behandlas för förbyggande och avslöjande av brott i beslutsfattandet inom tillståndsförvaltningen 

Enligt polisens gällande personuppgiftslag har polisen inte rätt att använda observationsuppgifter, uppgifter informationssystemet för misstänkta, uppgifter i skyddspolisens funktionella informationssystem och uppgifter i temporära register för brottsanalys när polisen fattar beslut eller lämnar utlåtanden som gäller beviljande eller giltighet av ett tillstånd. Enligt lagförslag 1 ska personuppgifter som behandlas för förebyggande och avslöjande av brott på grund av att deras karaktär ofta är otillförlitlig inte vara direkt tillgängliga i beslutsfattandet inom tillståndsförvaltningen. I propositionen ingår dock ett förslag om ett utlåtandeförfarande där centralkriminalpolisen under vissa strikt avgränsade förutsättningar för syften som anknyter till tillståndsprövning och tillsyn över tillstånd får göra en anmälan som grundar sig på uppgifter om personkategorier som avses i 7 § 2 mom. Grunderna för förfarandet har beskrivits i detaljmotiveringen till 15 §. 

Personuppgifter ska i enlighet med kraven i dataskyddslagstiftningen behandlas enbart för det lagstadgade ändamål för vilket de har samlats in (principen om ändamålsbundenhet). Grundlagsutskottet har betonat behovet av att säkerställa att principen om ändamålsbundenhet iakttas vid behandlingen av personuppgifter (GrUU 20/2016 rd, GrUU 13/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 25/2009 rd). Dataskyddslagstiftningen tillåter emellertid behandling av personuppgifter även för andra ändamål, om det föreskrivs om detta i lag och om behandlingen är nödvändig och proportionell. Enligt grundlagsutskottets tolkningspraxis ska regleringen också vara tillräckligt detaljerad och noggrant avgränsad. Det föreslagna anmälningsförfarandet har begränsats med detaljerade och noggrant avgränsade bestämmelser till situationer där centralkriminalpolisen utifrån uppgifter som gäller personkategorier som avses i 7 § 2 mom. bedömer att det är befogat att göra anmälan. 

Enligt grundlagsutskottets tolkningspraxis har skyddet för privatlivet och personuppgifter inte företräde framför andra grundläggande fri- och rättigheter (GrUU 26/2018 rd, GrUU 14/2018 rd). Vid en konstitutionell bedömning av skyddet av personuppgifter är det fråga om att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (t.ex. GrUU 54/2014 rd och GrUU 10/2014 rd). Syftet med det föreslagna anmälningsförfarandet är att i synnerhet skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljande eller giltighet av tillståndet mot att personer som deltar i organiserad kriminalitet eller misstänkts för sådan verksamhet på ett lagligt sätt kommer åt en tillståndspliktig uppgift med inverkan på säkerheten i samhället samt att förhindra att skjutvapen kan skaffas på ett lagligt sätt i situationer förknippade med risk för allvarligt missbruk. Inskränkningarna i skyddet av personlig integritet sträcker sig inte längre än vad som är nödvändigt för att målet ska nås. 

Utlämnande av uppgifter 

Grundlagsutskottet har i sin utlåtandepraxis noterat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan enligt utskottet gälla behövliga uppgifter för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att informationen är nödvändig för ett visst syfte (t.ex. GrUU 31/2017 rd samt GrUU 17/2016 rd och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 71/2014 rd, GrUU 62/2010 rd och GrUU 59/2010 rd). Utskottet har i sin praxis bedömt att även tillåtandet av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter som gäller privatlivet (GrUU 37/2013 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (t.ex. GrUU 38/2016 rd). 

Lagförslag 1 innehåller på samma sätt som i den gällande lagen detaljerade bestämmelser om till vilka myndigheter och för vilka ändamål med behandlingen personuppgifter får lämnas ut. Uppgifter som hör till särskilda kategorier av personuppgifter får bara lämnas ut när det är nödvändigt för att genomföra en för myndigheten i lagen föreskriven uppgift. 

Enligt grundlagsutskottets praxis sträcker sig kravet på att bestämmelserna ska utfärdas genom lag även till möjligheten att utlämna personuppgifter genom en teknisk anslutning. Den föreslagna regleringen gäller, på samma sätt som gällande lag, utlämnandet av personuppgifter genom en teknisk anslutning eller som en datamängd. Grundlagsutskottet har även ansett det vara nödvändigt att på den som begär uppgifter på förhand innan den tekniska anslutningen öppnas ställa krav på att en utredning om behörigt skydd för uppgifterna ska läggas fram (GrUU 12/2002 rd). I lagförslag 1 ingår en bestämmelse avseende detta till den del det gäller utlämnande av personuppgifter för sådana ändamål med behandlingen som dataskyddsförordningen omfattar. Med tanke på den personuppgiftsansvariges övervakningsskyldighet måste den personuppgiftsansvarige även i fortsättningen separat bedöma de villkor på vilka en teknisk anslutning kan öppnas. 

I lagförslag 1 ingår på motsvarande sätt som i den gällande lagen dubbelreglering om utlämnande av uppgifter och rätt att för uppgifter. Dubbelreglering leder till en tung struktur som i värsta fall kan medföra tolkningsproblem men enligt grundlagsutskottet utgör den inte något konstitutionellt problem (t.ex. GrUU 71/2014 rd). 

3.5  Rättsskydd och den registrerades rättigheter

Grundlagsutskottet har ansett det vara viktigt att det i den mån som EU-lagstiftningen möjliggör reglering på det nationella planet tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 31/2017 rd och GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 26/2017 rd, GrUU 2/2017 rd och GrUU 44/2016 rd). 

Enligt artikel 23 i dataskyddsförordningen ska det om vissa förutsättningar uppfylls vara möjligt att i en medlemsstats nationella rätt inskränka den registrerades rättigheter. Genom nationell lag kan bestämmelser om begränsningar som gäller bl.a. artiklarna 12—22 i förordningen införas. I dataskyddsförordningens artikel 23.2 förutsätts det att lagstiftningsåtgärder som innehåller undantag i förekommande fall innehåller särskilda bestämmelser åtminstone avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Även dataskyddslagen avseende brottmål gör det möjligt att avvika från den registrerades rättigheter i speciallagstiftningen. 

Den registrerades rätt till insyn 

De huvudsakliga bestämmelserna om den registrerades rätt till insyn finns i dataskyddslagen avseende brottmål samt i dataskyddsförordningen och den dataskyddslag som kompletterar förordningen. I lagförslag 1 föreslås bestämmelser om vissa inskränkningar av den registrerades insynsrätt i fråga om behandlingen av personuppgifter som hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Vid behandling av personuppgifter i situationer som hör till dataskyddsförordningens tillämpningsområde ska bestämmelserna i dataskyddslagen tillämpas på inskränkandet av den registrerades rätt till insyn. 

Det föreslås att inskränkningarna av rätten till insyn preciseras jämfört med dagsläget så att av personuppgifter som behandlas för förebyggande och avslöjande av brott ska uppgifter om polisens taktiska och tekniska metoder, observationsuppgifter och uppgifter från informationskällor, uppgifter som används för teknisk undersökning direkt stå utanför insynsrätten. I dessa uppgifter har den registrerade sådan indirekt rätt till insyn via dataombudsmannen som avses i 29 § i dataskyddslagen avseende brottmål. Övriga uppgifter som behandlas för förebyggande och avslöjande av brott omfattas av den registrerades rätt till insyn. Personuppgifter som behandlas för att skyddspolisen ska kunna utföra sina uppgifter ska på motsvarande sätt som för närvarande omfattas av indirekt rätt till insyn. 

Dessutom ska de personuppgifter som behandlas med stöd av 5 § 3 mom., 7 § 6 mom. och 48 § 2 mom. i lagförslag 1 enligt förslaget omfattas av indirekt rätt till insyn. I fråga om dessa uppgifter ska den direkta rätten till insyn begränsas, eftersom uppgifterna normalt innehåller uppgifter om polisens taktiska och tekniska metoder. Efter att uppgifternas betydelse med tanke på polisens uppgifter har bedömts, tillämpas på begränsningen av rätten till insyn samma bestämmelser som på övriga uppgifter i enlighet med 5—8 och 48 §. 

Det ska finnas ett godtagbart samhälleligt intresse i en inskränkning av skyddet för privatlivet och inskränkningen ska stå i rätt proportion till det eftersträvade målet. Det betyder att inskränkningarna måste vara nödvändiga för att ett godtagbart syfte ska nås. En inskränkning av en grundläggande fri- eller rättighet är tillåten enbart om målet inte kan nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. En inskränkning får inte vara mer genomgripande än vad som är motiverat med hänsyn till hur tungt vägande det bakomliggande intresset är i relation till det rättsobjekt som ska inskränkas (GrUB 25/1994 rd och t.ex. GrUU 56/2014 rd och GrUU 18/2013 rd). 

Begränsningarna i lagförslag 1 anknyter å ena sidan till förebyggande, avslöjande och utredning av brott och å andra sidan till säkerställandet av den nationella säkerheten. I Europadomstolens och EU-domstolens samt högsta domstolens rättspraxis har dessa av tradition betraktats som tungt vägande samhälleliga intressen där målen inte skulle kunna nås med medel som intervenerar mindre i de grundläggande fri- och rättigheterna. Det ska föreskrivas exakt och noggrant avgränsat om begränsningarna och dessutom ska den registrerade alltid kunna använda sina rättigheter genom förmedling av tillsynsmyndigheten. Den registrerade nekas inte helt möjligheten att övervaka behandlingen av sina personuppgifter, utan även när rättigheterna inskränks kan den registrerade utnyttja sin rätt indirekt via dataombudsmannen. Inskränkningarna sträcker sig inte längre än vad som är nödvändigt för att målet ska nås. 

Artikel 18 i dataskyddsförordningen 

I propositionen föreslås ett undantag från artikel 18 i dataskyddsförordningen, enligt vilken den registrerade har rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas till exempel om den registrerade bestrider personuppgifternas korrekthet. Syftet för det föreslagna undantaget har beskrivits i detaljmotiveringen till 14 §. 

Den föreslagna bestämmelsen ska inte inskränka den registrerades rätt att med stöd av artikel 16 i dataskyddsförordningen kräva att felaktiga uppgifter rättas. Som garanti för den registrerades rättsskydd fungerar även de andra rättigheter som det föreskrivs om i dataskyddsförordningens kapitel III om den registrerades rättigheter och kapitel VIII om rättsmedel, ansvar och sanktioner. Om den registrerade anser att behandlingen av hans eller hennes personuppgifter är olaglig har denne möjlighet att t.ex. väcka ärendet genom att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77 i dataskyddsförordningen. Den registrerade kan också med stöd av förvaltningslagen yrka att den lagstridiga behandlingen av personuppgifter ska upphöra. I det sistnämnda fallet ska den personuppgiftsansvarige avgöra ärendet med iakttagande av bestämmelserna om förfaranden i förvaltningslagen. Det föreslagna undantaget kan därmed anses vara av ringa betydelse med tanke på den registrerades rättsskydd, när man tar i beaktande hur god förvaltning och rättsskydd i övrigt tryggas vid den personuppgiftsansvariges behandling av personuppgifter. 

Användning av kriminalunderrättelser vid tillståndsprövning och tillsyn över tillstånd 

I propositionen ingår ett förslag till utlåtandeförfarande där centralkriminalpolisen under vissa strikt avgränsade förutsättningar utifrån uppgifter som gäller förebyggande och avslöjande av brott får göra en anmälan som kan utnyttjas vid beslutsfattandet inom tillståndsförvaltningen. Utnyttjande av personuppgifter som till sin karaktär är osäkra och anknyter till förebyggande och avslöjande av brott för beslutsfattande inom tillståndsförvaltningen har konsekvenser för rättsskyddet för dem som ansöker om tillstånd. Som garanti för rättsskyddet fungerar dock kraven på motivering av förvaltningsbeslut i enlighet med förvaltningslagen samt möjligheten till ändringssökande i enlighet med förutsättningarna enligt speciallagstiftningen och de allmänna förvaltningslagarna. En myndighet ska i motiveringen till ett förvaltningsbeslut beskriva vilka omständigheter och utredningar som har bidragit till avgörandet. Kravet på motivering gäller också uppgifter som gäller förebyggande och förhindrande av brott, och deras inverkan på slutresultatet av tillståndsprövningen ska därmed beskrivas i tillståndsbeslutet. 

Rättsmedel 

Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. 

I dataskyddsförordningen ingår strängare sanktioner för behandling av personuppgifter i strid med förordningen än vad som ingår i personuppgiftslagen. I kapitel VIII i förordningen föreskrivs om rättsmedel, ansvar och sanktioner. I kapitlet föreskrivs om rätt till effektiva rättsmedel såväl mot tillsynsmyndigheten som också mot den personuppgiftsansvarige eller personuppgiftsbiträdet. I artikel 82 i förordningen föreskrivs om den personuppgiftsansvariges skadeståndsansvar och den registrerades rätt till ersättning och i artikel 84 ställs en skyldighet för medlemsstaterna att fastställa regler för de sanktioner som ska påföras för överträdelse av förordningen. 

I kapitel VIII i dataskyddsdirektivet föreskrivs om den registrerades rättsmedel, den personuppgiftsansvariges ansvar och om de sanktioner som ska påföras med anledning av överträdelser mot de bestämmelser som meddelats med stöd av direktivet. De registrerade ska ha rätt att lämna in ett klagomål till tillsynsmyndigheten, om de anser att behandlingen av personuppgifter som avser dem står i strid med de bestämmelser som utfärdas med stöd av direktivet. Om den tillsynsmyndighet som mottagit klagomålet inte är behörig, ska myndigheten på eget initiativ överlämna klagomålet till den behöriga myndigheten. Både fysiska och juridiska personer ska ha rätt till effektiva rättsmedel mot tillsynsmyndigheten. Var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med direktivet ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. 

Bestämmelserna i dataskyddsförordningen kompletteras med den nationella dataskyddslagen, där det föreskrivs om rättssäkerhet och påföljder. I dataskyddslagen föreskrivs bl.a. om den registrerades rätt att föra ärendet till dataombudsmannens behandling, om den registrerade anser att lagstiftningen överträds i fråga om behandlingen av hans eller hennes personuppgifter. I lagen ingår dessutom bestämmelser om dataombudsmannens rätt att förelägga vite i fråga om vissa beslut och viss rätt att få uppgifter. I lagen föreskrivs också om ändringssökande i dataombudsmannens beslut. Överklagbarheten för beslutet bestäms utifrån förvaltningsprocesslagen. Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. Över förvaltningsdomstolens beslut får, som i fråga om den gällande personuppgiftslagen, besvär anföras hos högsta förvaltningsdomstolen, endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. På detta sätt säkerställs att dataombudsmannen har möjlighet att på ett effektivt sätt ingripa i lagstridig behandling av personuppgifter. 

Dataombudsmannen ska också vara tillsynsmyndighet för efterlevnaden av dataskyddslagen avseende brottmål. Dataombudsmannen ska utöva tillsyn över efterlevnaden av den föreslagna lagen både på eget initiativ och på basis av begäranden om åtgärder som lämnas in till ombudsmannen. Dataombudsmannen kan göra utredningar av hur lagen följs och behandla begäranden om åtgärder som lämnats in till ombudsmannen. Ombudsmannen kan i fall av ett lagstridigt förfarande t.ex. meddela den personuppgiftsansvarige en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen får också förena sitt rättsligt förpliktande beslut med vite. 

I dataskyddslagen föreskrivs att administrativa påföljdsavgifter enligt dataskyddsförordningen inte kan påföras statliga myndigheter, t.ex. polisen. I regleringen är det fråga om utnyttjande av det nationella handlingsutrymmet. Inte heller i dataskyddslagen avseende brottmål föreskrivs det om administrativa påföljdsavgifter för de behöriga myndigheter som avses i lagen. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen, vilka för sin del motiverar denna regleringslösning. Myndigheterna är bundna av förvaltningens lagbundenhetsprincip, och myndigheterna ska iaktta de allmänna förvaltningslagarna. En lagenlig behandling av personuppgifter inom myndigheterna ingår i tjänsteplikten för dem som arbetar vid myndigheterna. En tjänstemans ställning är förbunden med ett större ansvar för fel som gjorts i arbetet än när det gäller andra personer. Tjänsteansvaret kan för det första utmynna i ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar samt som skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan göras till den högre myndigheten. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter. Grundlagsutskottet har inte haft något att invända mot propositionsmotiven i den nämnda dataskyddslagen (GrUU 14/2018 rd). 

3.6  Jämlikhet

I 6 § i grundlagen finns det en allmän jämlikhetsklausul om att alla är lika inför lagen. Ingen får utan godtagbart skäl särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp eller av någon annan orsak som gäller hans eller hennes person. Den allmänna jämlikhetsklausulen kompletteras av förbudet mot diskriminering. 

Den allmänna jämlikhetsklausulen riktas också till lagstiftaren. Medborgare eller grupper av medborgare kan inte godtyckligt särbehandlas vare sig positivt eller negativt genom lag. Klausulen kräver ändå inte att alla människor i alla avseenden ska behandlas lika, om inte förhållandena är likadana. I sin praxis har grundlagsutskottet också konstaterat att inga skarpa gränser för lagstiftarens prövning följer av den allmänna jämlikhetsprincipen när en reglering i överensstämmelse med den rådande samhällsutvecklingen eftersträvas (GrUU 11/2012 rd, GrUU 2/2011 rd, GrUU 64/2010 rd, GrUU 35/2010 rd, GrUU 5/2008 rd, GrUU 38/2006 rd, GrUU 1/2006 rd, GrUU 15/2001 rd). Det som är centralt är huruvida skillnaderna kan motiveras på ett sätt som är acceptabelt med tanke på systemet med grundläggande fri- och rättigheter (GrUU 46/2006 rd, GrUU 16/2006 rd och GrUU 73/2002 rd). Utskottet har i olika sammanhang på basis av grundlagens bestämmelser om jämlikhet krävt att särbehandlingen inte får vara godtycklig och skillnaderna oskäliga (t.ex. GrUU 11/2012 rd, GrUU 37/2010 rd, GrUU 11/2009 rd och GrUU 18/2006 rd). 

I 6 § 2 mom. i grundlagen finns en förteckning över vissa orsaker till särbehandling som är förbjudna. Förteckningen är dock inte uttömmande. Med de förbjudna orsaker till särbehandling som nämns särskilt jämställs även andra orsaker som gäller ens person. Grundlagsutskottet har i sin praxis utöver att bedöma om grunden kan godtas också fäst avseende vid om den valda lösningen står i rätt proportion till det eftersträvade målet (GrUU 38/2006 rd och GrUU 23/2012 rd). 

De åtgärder som gäller behandling av personuppgifter hos polisen får inte leda till diskriminering. I synnerhet de skyldigheter som gäller insamlingen av känsliga personuppgifter har betydelse vid bedömningen av om jämlikhetsprincipen realiseras. Polisen kan vara tvungen att behandla känsliga personuppgifter också i stor omfattning för förebyggande, avslöjande och utredning av brott. Sådana uppgifter kan t.ex. vara den brottsmisstänktes nationella eller etniska ursprung eller uppgifter beträffande hälsotillstånd eller genetiska uppgifter (DNA-spår) samt fingeravtrycksuppgifter. Behandlingen av dessa uppgifter ska enligt dataskyddslagen avseende brottmål vara knuten till behandlingens nödvändighet. 

Med tanke på kravet på jämlik behandling enligt grundlagen är i synnerhet den föreslagna utvidgningen av utnyttjandet av biometriska identifieringsuppgifter som samlats in med stöd av 131 § i utlänningslagen av betydelse. Förslaget avviker från möjligheten att använda biometriska uppgifter i enlighet med passlagen och lagen om identitetskort till den del det gäller allvarliga brott. 

Grundlagsutskottet har i sitt utlåtande om ändring av utlänningslagen (GrUU 47/2010 rd) förutsatt att användningen av fingeravtryck som nationellt registreras i polisens register med stöd av 131 § i utlänningslagen begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för, för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning. Grundlagsutskottet har dock motiverat sitt utlåtande med att på användningen av de fingeravtrycksuppgifter som registrerats med stöd av 131 § i utlänningslagen har tillämpats 16 § i lagen om behandling av personuppgifter i polisens verksamhet, som gjort det möjligt att använda fingeravtrycksuppgifter i stor omfattning och helt klart för ändamål som inte motsvarar syftet med att samla in och registrera dem. Grundlagsutskottet ansåg att det är helt klart att det inte handlade om sådana exakt avgränsade och obetydliga undantag från ändamålsbundenheten som utskottet förutsatt i sådana fall. På regleringen inverkade enligt grundlagsutskottets åsikt att bestämmelserna föreföll suspekta med beaktande av jämlikhetsbestämmelserna i 6 § i grundlagen i och med att de riktar sig mot vissa grupper av utlänningar. Grundlagsutskottet ansåg dock att ändamål som motsvarar det ursprungliga med behandlingen av fingeravtrycken i sig kan ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett nära samband med det ursprungliga insamlings- och registreringsändamålet. 

Polisen har med stöd av 131 § i utlänningslagen rätt att uppta signalement för tryggande av statens säkerhet. I Europadomstolens rättspraxis har staten ansetts ha en bred prövningsmarginal bl.a. för att bedöma om begränsningen av skydd av personlig integritet är nödvändig för att trygga statens säkerhet (Leander mot Sverige, 26.3.1987, punkt 59 i domen). Prövningsmarginalen är dock förbunden med den kontroll som framgår av Europadomstolens rättspraxis. Enligt Europadomstolens tolkningspraxis ska det föreligga vägande skäl för att utifrån nationalitet begränsa rättigheterna enligt artikel 14, trots att staten har prövningsmarginal (Andrejeva mot Lettland, 18.2.2009, punkt 88—91 i domen). 

För tryggandet av statens säkerhet anses det vara viktigt att bl.a. utreda vem det finns skäl att misstänka för ett brott som äventyrar statens säkerhet eller för planeringen av ett sådant brott. Förebyggande, avslöjande och utredande av terroristbrott och andra grova brott ska enligt lagförslag 1 anses vara ett ändamål förenligt med behandling av personuppgifter för tryggande av statens säkerhet. Det tryggande av statens säkerhet som avses i 131 § utlänningslagen anknyter å ena sidan till polisens i lag föreskrivna uppgift som gäller övervakning av utlänningar och å andra sidan till skyddspolisens uppgifter vid upprätthållandet av den nationella säkerheten. Enligt 34 a kap. 1 § 1 mom. i strafflagen är ett brott som begåtts i terroristiskt syfte ägnat att allvarligt skada en stat. Det föreslås att med terroristiska gärningar ska på motsvarande sätt som i Eurodacförordningen jämställas övriga grova brott som avses i förordningen. 

För att beakta grundlagsutskottets anmärkningar och proportionalitetsprincipen i fråga om behandling av biometriska identifieringsuppgifter för andra ändamål med behandlingen än den ursprungliga föreslås separata bestämmelser i 14 § 4 mom. Användning av uppgifterna för andra än de ursprungliga ändamålen med insamlingen och registreringen av dem begränsas så att uppgifterna får användas i enlighet med samma förutsättningar som biometriska uppgifter enligt passlagen och lagen om identitetskort samt dessutom när det är nödvändigt att använda uppgifterna för förebyggande, avslöjande eller utredning av sådana terroristbrott och andra grova brott som avses i Eurodacförordningen. Rätt att använda uppgifterna har endast den som nödvändigtvis behöver dem för skötseln av sina arbetsuppgifter. Undantaget är på så sätt noggrant avgränsat på det sätt som grundlagens tolkningspraxis förutsätter. 

Den förslagna begränsningen av skyddet för privatlivet, genom vilken man samtidigt ingriper i genomförandet av likställighetsprincipen, anses nödvändig för att skydda den nationella säkerheten och allmänna säkerheten, och den bedöms stå i rätt proportion till det vägande samhälleliga intresse som skyddas. Biometriska uppgifter är ofta det enda tillförlitliga sättet att identifiera en person, i synnerhet när det är fråga om en person som inte är finsk medborgare, varför begränsningen anses vara nödvändig också med tanke på likställighetsprincipen. Vid tillämpningen av den föreslagna bestämmelsen ska det dock beaktas att den inte får leda till diskriminering. Begränsningen bedöms vara nödvändig i ett demokratiskt samhälle för att målen med förebyggande, avslöjande och utredning av brott och upprätthållande av statens säkerhet ska kunna nås. Begränsningen sträcker sig inte längre än vad som är nödvändigt för att identifiera personer som anknyter till brottslig verksamhet. Till denna del ska lagförslag 1 i propositionen anses vara förenlig med kraven i grundlagen. 

3.7  Bedömning av lagstiftningsordningen

De lagförslag som ingår i propositionen kan enligt regeringens åsikt behandlas i vanlig lagstiftningsordning. De bestämmelser som föreslås i propositionen är viktiga i konstitutionellt hänseende med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och personuppgifter. Regleringen har beröringspunkter också med andra grundläggande fri- och rättigheter. Enligt regeringens uppfattning bör propositionen av dessa orsaker sändas till riksdagens grundlagsutskott för behandling. 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om behandling av personuppgifter i polisens verksamhet 

I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § Tillämpningsområde 
Om inte annat föreskrivs någon annanstans i lag, tillämpas denna lag på behandling av personuppgifter som behövs för skötseln av polisens uppgifter enligt 1 kap. 1 § i polislagen (872/2011), om 
1) behandlingen är helt eller delvis automatisk, eller 
2) personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. 
På behandlingen av personuppgifter som behövs för skötseln av skyddspolisens uppgifter tillämpas 7 kap. 
2 § Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag 
1) tillämpas på behandlingen av personuppgifter i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) nedan dataskyddslagen avseende brottmål, 
2) tillämpas på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Bestämmelser om behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
I fråga om polisens informationsinhämtning och befogenheter i anknytning till den gäller vad som föreskrivs särskilt. 
3 § Definitioner 
I denna lag avses med 
1) författningsgrunden för Schengens informationssystem Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), rådets beslut 2007/533/RIF om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) samt Europaparlamentets och rådets förordning (EG) nr 1986/2006 om tillträde till andra generationen av Schengens informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon, 
2) Schengens informationssystem andra generationen av Schengens informationssystem så som det definieras i författningsgrunden för Schengens informationssystem (SIS II), 
3) det nationella systemet inom Schengens informationssystem systemet N.SIS II enligt författningsgrunden för Schengens informationssystem, 
4) behöriga Schengenmyndigheter polisen, Gränsbevakningsväsendet, Tullen, Försvarsmakten, åklagarna, Migrationsverket, Transport- och kommunikationsverket, utrikesministeriet samt finländska beskickningar, om utrikesministeriet har beviljat en finsk medborgare som tjänstgör där behövligt bemyndigande att bevilja visum, 
5) Europolförordningen Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, 
6) Eurodacförordningen Europaparlamentets och rådets förordning (EU) nr 603/2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa. 
2 kap. 
Behandling av personuppgifter 
4 § Behandling av grundläggande personuppgifter 
Polisen får för de ändamål som anges i 5, 7, 9 och 11 § behandla följande behövliga grundläggande personuppgifter: 
1) namn, 
2) födelsedatum och födelseort, 
3) personbeteckning, 
4) kön, 
5) modersmål, 
6) kontaktspråk, 
7) civilstånd, 
8) medborgarskap eller avsaknad av medborgarskap samt nationalitet, 
9) hemvist och bostadsort, 
10) yrke och utbildning, 
11) kontaktuppgifter, 
12) uppgifter ur handlingar som behövs för att fastställa identiteten, 
13) i fråga om en utländsk person föräldrarnas namn, medborgarskap och nationalitet, 
14) uppgifterna i ett resedokument samt övrig behövlig information som gäller inresa och passerande av gräns, 
15) klientnummer som en myndighet gett, 
16) uppgift om att personen avlidit eller förklarats död, 
17) uppgift om intressebevakning, försättande i konkurs eller meddelande om näringsförbud, 
18) uppgift om fullgörande av värnplikt. 
5 § Behandling av personuppgifter i undersöknings- och övervakningsuppgifter 
Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) är misstänkta för brott eller för medverkan till brott, 
2) är under 15 år och misstänkta för en brottslig gärning, 
3) är föremål för förundersökning, polisundersökning eller en åtgärd av polisen, 
4) har anmält ett brott eller uppträder som målsägande, 
5) är vittnen, 
6) är offer, 
7) direkt anknyter till polisens fältuppgifter eller i lag särskilt föreskrivna övervakningsuppgifter, 
8) på något annat sätt än vad som anges i 1—7 punkten har anknytning till ett ärende som avses i 1 mom. 
Polisen får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. 
6 §  Innehållet i personuppgifter som behandlas i undersöknings- och övervakningsuppgifter 
Polisen får i fråga om personer som avses i 5 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser, 
2) signalementsuppgifter som behövs för fastställande av identiteten, inklusive finger-, hand- och fotavtryck, handstils-, röst- och luktprov, DNA-profil, ansiktsbild och andra biometriska uppgifter; för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras får behövliga uppgifter om nära släktingar behandlas endast med samtycke från den som uppgifterna gäller, 
3) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter, 
4) identifieringsuppgift om avgörande av åklagare eller domstol och uppgift om någon har dömts till straff, om det fattats beslut om åtalseftergift eller domseftergift, om ett åtal förkastats, lämnats utan prövning eller avskrivits samt uppgift om ett avgörandes laga kraft. 
7 § Behandling av personuppgifter för förebyggande eller avslöjande av brott 
Polisen får behandla personuppgifter för utförandet av en uppgift som anknyter till förebyggande eller avslöjande av brott. 
Dessutom krävs det att de i 1 mom. avsedda uppgifterna anknyter till personer som 
1) med fog kan antas ha gjort sig eller göra sig skyldiga till brott, 
2) har kontakt med en i 1 punkten avsedd person eller påträffas i dennes sällskap, och kontakten eller sammanträffandena på grund av att de har upprepats, omständigheterna eller personens beteende kan antas ha samband med ett brott, 
3) är föremål för observation i enlighet med 5 kap. 13 § i polislagen. 
Polisen får, om det är nödvändigt för förebyggande eller avslöjande av ett brott, behandla i 1 mom. avsedda uppgifter också i fråga om följande personer: 
1) vittnen till ett brott, 
2) offer för ett brott, 
3) den som har anmält ett brott eller uppträder som målsägande. 
Beslut om inledande av behandling av personuppgifter i anknytning till en brottsanalys som behövs för förebyggande eller avslöjande av brott fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
Polisen får dessutom behandla uppgifter om observationer som gjorts av polismän och uppgifter som anmälts till polisen i anslutning till händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet. 
Polisen får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. 
8 § Innehållet i personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Polisen får i fråga om personer som avses i 7 § utöver de grundläggande personuppgifter som avses i 4 § behandla följande personuppgifter: 
1) behövliga specificeringar, beskrivningar och klassificeringar i anknytning till polisens uppgifter, åtgärder och händelser, 
2) behövliga uppgifter som gäller en persons verksamhet och beteende, 
3) signalementsuppgifter som behövs för fastställande av identiteten, inklusive röstprov, ansiktsbild och andra biometriska uppgifter, 
4) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. 
Till personuppgifterna ska det om möjligt fogas en bedömning av uppgiftslämnarens eller källans tillförlitlighet och uppgifternas riktighet. 
9 § Behandling av uppgifter om informationskällor 
Polisen får behandla uppgifter om en i 5 kap. 40 § i polislagen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. 
10 § Behandling av personuppgifter i anknytning till kvalitetssäkring av DNA-prov 
Polisen får för kvalitetssäkring av DNA-prov som upptagits i polisens undersökningar i fråga om andra personer än brottsmisstänkta och okända gärningsmän i anslutning till brott behandla följande uppgifter: 
1) namn, 
2) personbeteckning, 
3) DNA-profil, 
4) tjänsteställe. 
En person har rätt att vägra ge ett DNA-prov och förbjuda behandlingen av hans eller hennes personuppgifter. 
11 § Behandling av personuppgifter i polisens övriga lagstadgade uppgifter 
Polisen får behandla personuppgifter också för utförande av uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som polisen ska utföra enligt särskilda bestämmelser i lag och som inte anknyter till förebyggande, avslöjande eller utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förebyggande av hot mot den allmänna säkerheten. 
12 § Innehållet i personuppgifter som behandlas för utförande av polisens övriga lagstadgade uppgifter 
Utöver de grundläggande personuppgifter som avses i 4 § får polisen för syften som avses i 11 § behandla följande personuppgifter: 
1) uppgifter som gäller ansökningar, tillstånd, utlåtanden, anmälningar och beslut, 
2) uppgifter som gäller hinder för beviljande eller för giltigheten av ett tillstånd samt uppgifter som behövs för utredande av förutsättningarna för beviljande eller utredande av giltigheten av ett tillstånd, inklusive hälsouppgifter och övriga behövliga uppgifter som hör till särskilda kategorier av personuppgifter, 
3) uppgifter om myndigheternas åtgärder, 
4) de fotografier av en person och namnteckningsprov som personen har lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om ett tillstånd eller beslut som fotografiet och namnteckningsprovet behövs för, 
5) för skötseln av ärenden enligt lagen om identitetskort (663/2016) och passlagen (671/2006) biometriska fingeravtrycksuppgifter och den ansiktsbild som tagits av sökanden vid ansökan om identitetskort eller pass, 
6) uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter, 
7) uppgifter om administrativa påföljder, 
8) andra än i 1—7 punkten avsedda uppgifter som är nödvändiga för utförande av de uppgifter som avses i 11 §. 
Polisen får som en del av tillsynen i enlighet med lotterilagen (1047/2001) och lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) i den utsträckning som det behövs för att tillsynsuppgiften ska kunna utföras behandla personuppgifter som avser kunderna hos penningspelsbolag och andra näringsidkare och sammanslutningar som polisen enligt de lagarna ska övervaka. 
13 § Behandling av personuppgifter för andra ändamål än det ursprungliga 
Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla de personuppgifter som avses i 5—9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga, om detta behövs för 
1) att förebygga eller avslöja ett brott, 
2) att utreda ett brott som kan medföra fängelsestraff, 
3) att påträffa en efterlyst, 
4) en utredning som stöder det att någon är oskyldig, 
5) förhindrande av betydande fara för någons liv, hälsa eller frihet eller betydande miljö-, egendoms- eller förmögenhetsskada, 
6) skyddande av den nationella säkerheten, 
7) att utreda identitet i samband med en sådan polisåtgärd som nödvändigt kräver att identiteten styrks, 
8) inriktning av polisens verksamhet. 
Uppgifter i polisens personregister får trots sekretessbestämmelserna behandlas även för laglighetsövervakning, analys, planering och utveckling. Uppgifter får också användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Det fotografi och namnteckningsprov som avses i 12 § 1 mom. 4 punkten får med den berörda personens samtycke även användas för något annat förvaltningstillstånd eller beslut som personen ansökt om än den handling som fotografiet och namnteckningsprovet har lämnats för. 
De personuppgifter som avses i 12 § 2 mom. får användas endast för det ursprungliga ändamålet med behandlingen. 
14 § Behandling av uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål än det ursprungliga 
Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla i 5—9, 11 och 12 § avsedda uppgifter som hör till särskilda kategorier av personuppgifter för andra ändamål med behandlingen än det ursprungliga om det är nödvändigt för de ändamål med behandlingen som föreskrivs i 13 §. 
Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs och ska därefter förstöras omedelbart. 
Fingeravtrycksuppgifter för en person som ansökt om pass får med den berörda personens samtycke användas också för framställning av en identitetshandling som personen ansökt om senare. 
Biometriska uppgifter som behandlas för utförande av uppgifter enligt 131 § i utlänningslagen (301/2004) får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast i de fall som avses i 2 mom. samt om det är nödvändigt att använda uppgifterna för förebyggande, avslöjande eller utredning av sådana terroristbrott och andra grova brott som avses i Eurodacförordningen. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. 
Uppgifter som behandlas för kvalitetssäkring av DNA-prov får användas endast för det ursprungliga ändamålet med behandlingen. Uppgifterna får dessutom behandlas för laglighetsövervakning, planering och utveckling samt för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
Uppgifter i en skjutvapenanmälan enligt 114 § i skjutvapenlagen (1/1998) får inte användas för andra ändamål än för behandling av uppgifter som gäller vapentillstånd. 
15 § Behandling av personuppgifter vid tillståndsprövning och tillsyn över tillstånd 
Om inte något annat föreskrivs någon annanstans i lag, får polisen behandla personuppgifter som avses i 5, 6, 9, 11 och 12 § för andra ändamål med behandlingen än det ursprungliga när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
För bedömning av förutsättningarna för beviljande eller giltighet av tillstånd får i de situationer som avses i 1 mom. också användas en sådan av centralkriminalpolisen gjord anmälan, som grundar sig på uppgifter om personer som avses i 7 § 2 mom. Anmälan ska innehålla de uppgifter som behövs för bedömningen av förutsättningarna för beviljandet eller giltigheten av tillståndet. Centralkriminalpolisen får göra en anmälan, om 
1) den som ansöker om eller innehar tillståndet, utifrån de uppgifter som avses i 8 §, har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut funnits skyldiga till deltagande i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som ansöker om eller innehar tillståndet mottaglig för extern osaklig påverkan och genom det kan äventyra skyddet för de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet, eller 
2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som ansöker om eller innehar tillståndet gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda de intressen som ligger till grund för de föreskrivna förutsättningarna för beviljandet eller giltigheten av tillståndet mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida. 
3 kap. 
Rätt att få uppgifter 
16 § Polisens rätt att få uppgifter ur vissa register och informationssystem 
Utöver vad som föreskrivs annanstans i lag har polisen trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få sådan information som polisen behöver för att utföra sina uppgifter och föra sina personregister, på det sätt det avtalas med den personuppgiftsansvarige, enligt följande: 
1) ur det trafik- och transportregister som avses i lagen om transportservice (320/2017) sådana uppgifter som är nödvändiga för fullgörandet av polisens lagstadgade uppgifter, 
2) ur Brottspåföljdsmyndighetens informationssystem enligt lagen om behandling av personuppgifter vid Brottspåföljdmyndigheten (1069/2015), i enlighet med 14 § 1 och 2 mom. i den lagen, uppgifter som gäller dömda, fångar eller intagna i en enhet vid Brottspåföljdsmyndigheten, för förhindrande och utredning av brott och förande av brott till åtalsprövning eller för sådana tillstånd och godkännanden från polisen som förutsätter att personen i fråga är tillförlitlig, 
3) av dem som utövar inkvarteringsverksamhet sådana uppgifter om resande som avses i 6 § 1 mom. i lagen om inkvarterings- och förplägnadsverksamhet (308/2006), för upprätthållande av allmän ordning och säkerhet samt för förhindrande, avslöjande eller utredning av brott och för fullgörande av polisens lagstadgade uppgifter i övrigt, 
4) ur det bötesregister som avses i lagen om verkställighet av böter (672/2002), för ändamål enligt 50 § i den lagen, uppgifter om brott och straffrättsliga påföljder samt uppgifter för behandling av tillståndsärenden, ur det straffregister som avses i straffregisterlagen (770/1993), för ändamål enligt 4 och 4 a § i den lagen, uppgifter om personer, av justitieförvaltningsmyndigheterna uppgifter om personer som är efterlysta av dem, ur det register över avgöranden och meddelanden om avgöranden som avses i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) uppgifter om avgöranden i brottmål och om avgörandenas laga kraft samt ur det rikssystem för behandling av diarie- och ärendehanteringsuppgifter som avses i den lagen uppgifter om brottmål som är eller har varit anhängiga vid åklagarmyndigheter och domstolar, om sådan information kan fås, 
5) ur Patent- och registerstyrelsens handelsregister, för förhindrande, avslöjande och utredande av brott, uppgifter om anmälningar och meddelanden som gäller näringsidkare, 
6) ur Gränsbevakningsväsendets och Tullens personregister, uppgifter för polisuppdrag som motsvarar de uppdrag för vilka uppgifterna har samlats in och registrerats för samt för andra ändamål när det gäller fall som avses i 13 § och 15 § 1 mom., 
7) ur utrikesministeriets informationssystem, för förundersökning, för annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
8) ur Migrationsverkets informationssystem, för förundersökning, annan undersökning och för utförande av de uppgifter polisen har enligt utlänningslagen, uppgifter om ärenden som gäller resedokument, visum, vistelse, internationellt skydd, avlägsnande ur landet, inreseförbud och medborgarskap, 
9) av teleföretag uppgifter som avses i 10 kap. 6—8 § i tvångsmedelslagen (806/2011), i 5 kap. 8 och 9 § i polislagen samt i 19 kap. i lagen om tjänster inom elektronisk kommunikation (917/2014), 
10) av myndigheter som har begärt handräckning de uppgifter som behövs för att handräckning ska kunna ges, 
11) uppgifter som avses i 13—17 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), 
12) av Försvarsmakten nödvändiga uppgifter om en värnpliktigs tjänstgöring och tjänsteduglighet, för bedömningen av den personliga lämpligheten hos en person som söker eller innehar ett tillstånd som avses i skjutvapenlagen och en person för vilken ett godkännande som avses i skjutvapenlagen söks eller som har fått ett sådant godkännande samt för utredning av hinderlöshet hos sökande och innehavare av ett tillstånd enligt passlagen eller lagen om identitetskort, 
13) ur det register över kompetensbrev för laddare som avses i 22 § i lagen om laddare (423/2016) uppgifter för övervaknings- och larmuppdrag samt för förhindrande, utredning och avslöjande av brott, 
14) av Lantmäteriverket, för förhindrande, avslöjande och utredning av brott, uppgifter ur det fastighetsdatasystem som avses i lagen om ett fastighetsdatasystem och anslutande informationstjänster (453/2002) och det bostadsdatasystem som avses i lagen om ett bostadsdatasystem ( / ), 
15) av samfund och sammanslutningar uppgifter ur register som gäller passagerare och fordons personal, för förhindrande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt för att nå efterlysta personer; bestämmelser om rätten att få uppgifter ur flygtrafikens PNR-uppgifter finns i lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet ( / ). 
Polisen har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om inte något annat föreskrivs i lag. 
När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
17 § Uppgifter som andra myndigheter lämnar ut till polisen genom registrering via direkt anslutning eller för registrering som en datamängd 
Enligt avtal med den personuppgiftsansvarige får uppgifter lämnas ut till polisens personregister genom en direkt anslutning eller för registrering som en datamängd enligt följande: 
1) av skyddspolisen uppgifter som behövs för förebyggande, avslöjande och utredning av brott samt för skyddande av den nationella säkerheten, 
2) av justitieförvaltningsmyndigheterna, Brottspåföljdsmyndigheten samt Rättsregistercentralen uppgifter om personer som de har efterlyst, av Brottspåföljdsmyndigheten signalementsuppgifter om personer som avtjänar eller har avtjänat straff som riktar sig mot friheten samt av Rättsregistercentralen uppgifter om besöksförbud, näringsförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015), 
3) av Tullen och militärmyndigheterna uppgifter om personer som de har efterlyst och av Tullen för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen behövliga signalementsuppgifter och uppgifter om resedokument samt uppgifter som behövs för förebyggande och utredning av brott, 
4) av utrikesministeriet och finska beskickningar uppgifter som behövs för skötseln av utrikesministeriets och finska beskickningars uppgifter enligt passlagen, av utrikesministeriet uppgifter om dem som hör till personalen vid diplomatiska beskickningar och konsulat som representerar den utsändande staten i Finland och om dem som hör till personalen vid en internationell organisations organ i Finland eller något annat internationellt organ i samma ställning samt om dessa personers familjemedlemmar och om dem som är i privat tjänst hos dessa personer, 
5) av Gränsbevakningsväsendet i 5—8 § avsedda uppgifter som behöver behandlas för utförande av de uppgifter enligt 1 kap. 1 § 1 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen (578/2005), lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) eller någon annan i lag, samt i 11 och 12 § i denna lag avsedda uppgifter som behöver behandlas för utförande av de uppgifter enligt 1 kap. 1 § 2 mom. i polislagen som Gränsbevakningsväsendet har enligt gränsbevakningslagen eller någon annan lag, 
6) av Forststyrelsens jakt- och fiskeövervakare sådana behövliga uppgifter om vidtagna åtgärder som registrerats vid jakt- och fiskeövervakning som hör till deras behörighet, 
7) av nödcentralsmyndigheterna uppgifter om en person som har registrerats i nödcentralsdatasystemet när uppgifterna behövs med tanke på den registrerades egen säkerhet eller säkerheten i arbetet, 
8) av Migrationsverket uppgifter om nationella inreseförbud samt om polisåtgärder i anslutning till beslut om avvisning, utvisning och handräckning. 
När polisen har fått personuppgifter av en personuppgiftsansvarig med stöd av 1 mom. ska polisen på begäran lämna den personuppgiftsansvarige information om behandlingen av de utlämnade personuppgifterna. 
18 § Europeiska unionens informationssystem för viseringar 
Bestämmelser om polisens rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar för utförande av en uppgift som enligt utlänningslagen ska skötas av polisen finns i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). 
Dessutom har polisen rätt att genom en teknisk anslutning få uppgifter ur Europeiska unionens informationssystem för viseringar i syfte att förhindra och utreda terroristbrott som avses i 34 a kap. i strafflagen (39/1889) och brott som avses i 3 § 2 mom. i lagen om utlämning för brott mellan Finland och de övriga medlemsstaterna i Europeiska unionen (1286/2003). Bestämmelser om utlämnande av sådana uppgifter finns i rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Uppgifterna ska begäras via centralkriminalpolisen eller skyddspolisen. 
19 § Vite 
Polisen kan ålägga den av vilken polisen har rätt att få uppgifter som avses i 16 § 1 mom. 15 punkten att lämna uppgifterna inom en skälig tid. Polisen kan förena åläggandet med vite. Beslutet om föreläggande av vite ska iakttas även om ändring i beslutet söks. Vite får dock inte föreläggas om det finns skäl att misstänka någon för brott och det begärda materialet har samband med brottsmisstanken. Bestämmelser i övrigt om vite finns i viteslagen (1113/1990). 
20 § Behandling av personuppgifter som erhållits i internationellt samarbete 
Vid behandlingen av personuppgifter som erhållits från ett tredjeland eller en internationell organisation eller myndighet ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av personuppgifter, vidarelämnande av personuppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
Om inte något annat följer av 1 mom., får polisen använda de utlämnade personuppgifterna för andra ändamål än de för vilka uppgifterna lämnades ut, med iakttagande av 13 § 1 mom. 
4 kap. 
Utlämnande av personuppgifter 
21 § Utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål 
Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—8, 11 och 12 § till skyddspolisen, Tullen, Gränsbevakningsväsendet, Försvarsmakten, åklagare, domstolar, Rättsregistercentralen, Brottspåföljdsmyndigheten och andra myndigheter för de uppgifter enligt 1 § i dataskyddslagen avseende brottmål som myndigheten har enligt lag. 
22 § Övrigt utlämnande av personuppgifter till myndigheter 
Polisen får trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd lämna ut sådana personuppgifter som avses i 5—8, 11 och 12 § och som behövs för att utföra en uppgift som myndigheten har enligt lag, enligt följande: 
1) till Transport- och kommunikationsverket de uppgifter i enlighet med IV avd. 2 kap. 2 § och V avd. 1 kap. 2 § i lagen om transportservice som är nödvändiga för skötseln av verkets lagstadgade uppgifter, 
2) till Nödcentralsverket, för utförande av de uppgifter som anges i lagen om nödcentralsverksamhet (692/2010), uppgifter som behövs för att säkerställa förberedande åtgärder eller arbetarskyddet eller för att stödja enheten i fråga, med iakttagande av vad som föreskrivs om begränsning av rätten att få information i 19 § 2 mom. i den lagen, samt sådan säkerhetsinformation som avses i 6 § 3 punkten i denna lag för registrering i nödcentralsdatasystemet, 
3) till räddningsmyndigheterna för räddningsverksamhet som avses i 32 § i räddningslagen (379/2011), 
4) till Gränsbevakningsväsendet för gränskontroll samt upprätthållande av gränssäkerheten och gränsordningen, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 14 och 15 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ), 
5) till socialmyndigheterna för behandling av ärenden som gäller en utlännings försörjning, 
6) till Tullen för tullövervakning, skattekontroll, övervakning av personers inresa och utresa och utförande av den in- och utresekontroll som ingår i detta, för stämning och annan delgivning, för andra ändamål som motsvarar det ursprungliga ändamålet med behandlingen samt för andra ändamål i de fall som avses i 13 § i lagen om behandling av personuppgifter inom Tullen ( / ), 
7) till arbetsmyndigheterna för behandling av ärenden som gäller beviljande av uppehållstillstånd för arbetstagare eller uppehållstillstånd för näringsidkare eller övervakning av arbete, 
8) till utrikesministeriet och finska beskickningar för behandling av ärenden som hör till deras behörighet och som gäller pass eller något annat resedokument, visum, uppehållstillstånd för arbetstagare, uppehållstillstånd för näringsidkare eller något annat uppehållstillstånd, 
9) till Migrationsverket för behandling och avgörande av sådana ärenden avseende utlänningar och finskt medborgarskap som enligt lag eller förordning hör till Migrationsverket, 
10) till domstolarna för behandling av ärenden som gäller skjutvapen, vapendelar, patroner eller särskilt farliga projektiler, 
11) till en utmätningsman i enlighet med 3 kap. 67 § i utsökningsbalken (705/2007) för utsökningsutredningar eller annan verkställighet av utsökningsärenden, 
12) till en tjänsteman som nämns i 1 eller 6 § i lagen om stämningsmän (505/1986) för stämning till en rättegång för bestämmande av förvandlingsstraff samt till stämningsmän för delgivning av stämning behövliga grundläggande personuppgifter, uppgifter om säkerhet i arbetet och uppgifter om anhållna som behandlats för de ändamål som anges i 5 § i denna lag, 
13) till Forststyrelsens jakt- och fiskeövervakare för jakt- och fiskeövervakning som hör till deras behörighet, 
14) till kommuner som är väghållare och Trafikledsverket uppgifter om trafikolyckor för främjande av trafiksäkerheten, 
15) till arbetarskyddsförvaltningen för övervakning av förarnas kör- och vilotider uppgifter enligt Europaparlamentets och rådets direktiv 2006/22/EG om minimivillkor för genomförande av rådets förordningar (EEG) nr 3820/85 och (EEG) nr 3821/85 om sociallagstiftning på vägtransportområdet samt om upphävande av rådets direktiv 88/599/EEG, 
16) till magistraten för uppgifter som avses i 38 § i medborgarskapslagen (359/2003), 
17) till Försvarsmakten, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten för bedömning av om en hos dessa anställd med rätt att bära skjutvapen i sina tjänste- eller arbetsuppdrag är lämplig att bära skjutvapen. 
Biometriska uppgifter som behandlas för utförande av uppgifter som föreskrivs i lagen om identitetskort och passlagen får trots sekretessbestämmelserna lämnas ut endast till de myndigheter som avses i 1 mom. 4, 6, 8 och 9 punkten i denna paragraf för styrkande av identitet och konstaterande av ett dokuments äkthet, om det behövs för behandling av ärenden som gäller en persons inresa, vistelse i landet eller utresa. 
Andra än i 2 mom. avsedda uppgifter som hör till särskilda kategorier av personuppgifter får lämnas ut för de ändamål som anges i 1 mom. endast om detta är nödvändigt för att utföra en uppgift som myndigheten har enligt lag. 
Innan personuppgifter lämnas ut ska mottagaren av uppgifterna för den personuppgiftsansvarige lägga fram tillförlitlig utredning om att uppgifterna skyddas på behörigt sätt. 
Kvaliteten på de uppgifter som lämnas ut ska i den mån det är möjligt bekräftas och uppgifterna ska vid behov förses med information som gör det möjligt för mottagaren att bedöma hur korrekta, fullständiga, aktuella och tillförlitliga uppgifterna är. Om det framgår att felaktiga uppgifter har lämnats ut eller att uppgifter lämnats ut i strid med lag, ska detta utan dröjsmål meddelas mottagaren. 
23 § Utlämnande av personuppgifter via det allmänna datanätet 
För att underrätta allmänheten och få in tips från allmänheten får polisen trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som polisen behöver informera om för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Personuppgifter ska kunna sökas endast genom enskilda sökningar. 
För att underrätta allmänheten och få in tips från allmänheten får polisen dessutom trots sekretessbestämmelserna via det allmänna datanätet lämna ut uppgifter som det särskilt behöver informeras om för att saken är brådskande, för att det är fråga om en farosituation, för att brott ska kunna förebyggas, för att egendom ska kunna återställas till ägaren eller av skäl som har samband med en utredning. Uppgifterna får lämnas ut på något annat sätt än vad som avses i 1 mom. endast när det är av väsentlig betydelse för utförande av en i 1 kap. 1 § 1 mom. i polislagen föreskriven uppgift och utlämnandet av uppgifterna inte strider mot den registrerades legitima intresse. Uppgifter som erhållits från en annan myndighet får endast lämnas ut med samtycke av den myndighet som lämnat ut uppgifterna. 
24 § Utlämnande av personuppgifter till privata sammanslutningar eller näringsidkare via e-tjänster 
Polisen får trots sekretessbestämmelserna lämna ut uppgifter om tillstånd som behandlas för de ändamål som anges i 11 § till en privat sammanslutning eller näringsidkare, om uppgifterna är nödvändiga för utförande av en uppgift som sammanslutningen eller näringsidkaren i fråga har enligt lag. Personuppgifter ska via e-tjänster endast kunna sökas som enskilda sökningar. 
25 § Utlämnande av personuppgifter till brottsbekämpande myndigheter i Europeiska unionens medlemsstater och i stater som hör till Europeiska ekonomiska samarbetsområdet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter som avses i 5—8, 11 och 12 § till sådana behöriga myndigheter i andra medlemsstater i Europeiska unionen och i stater som hör till Europeiska ekonomiska samarbetsområdet som behandlar personuppgifterna för de ändamål som anges i artikel 1.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, under samma förutsättningar som polisen själv får behandla personuppgifterna i fråga. 
Polisen får dessutom trots sekretessbestämmelserna lämna ut uppgifter som avses i 5—8, 11 och 12 § till Eurojust och sådana andra institutioner som inrättats med stöd av fördraget om Europeiska unionens funktionssätt som har till uppgift att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller förebygga och utreda brott och sörja för att brott blir föremål för åtalsprövning, om uppgifterna behövs för utförande av dessa uppdrag. Personuppgifter som hör till särskilda kategorier av personuppgifter får dock lämnas ut endast om de är nödvändiga för utförandet av dessa uppdrag. 
Uppgifter som avses i 1 och 2 mom. får lämnas ut också som en datamängd. 
Utöver vad som föreskrivs i denna lag och i dataskyddslagen avseende brottmål finns bestämmelser om utlämnande av personuppgifter till de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009). 
26 § Utlämnande av personuppgifter ur det nationella systemet inom Schengens informationssystem 
Polisen får trots sekretessbestämmelserna till de behöriga Schengenmyndigheterna lämna ut uppgifter ur det nationella systemet inom Schengens informationssystem med iakttagande av författningsgrunden för Schengens informationssystem. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
27 § Utlämnande av personuppgifter till stater som använder Schengens informationssystem och till Schengens informationssystem 
Polisen får trots sekretessbestämmelserna till Schengenstaternas behöriga myndigheter och för registrering i Schengens informationssystem lämna ut uppgifter som avses i författningsgrunden för Schengens informationssystem, om uppgifterna behövs för ändamål som anges i författningsgrunden för Schengens informationssystem. Den tilläggsinformation som avses i författningsgrunden för Schengens informationssystem ska lämnas ut genom förmedling av Sirenekontoret. Centralkriminalpolisen är Sirenekontor. Uppgifterna får också lämnas ut genom en teknisk anslutning eller som en datamängd. 
28 § Utlämnande av personuppgifter till Europol 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Europeiska unionens byrå för samarbete inom brottsbekämpning med iakttagande av bestämmelserna i Europolförordningen och lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017). 
29 § Utlämnande av personuppgifter till Eurodacsystemet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter till Eurodacsystemet med iakttagande av bestämmelserna i Eurodacförordningen. Centralkriminalpolisen är den nationella enheten i Eurodacsystemet och den utsedda myndighet för brottsbekämpande ändamål som avses i artikel 5.1 i Eurodacförordningen. 
30 § Utlämnande av personuppgifter med stöd av Prümfördraget och Prümrådsbeslutet 
I fråga om utlämnande, på basis av en sökning som lett till en träff, av DNA-uppgifter, fingeravtryckuppgifter och fordonsregisteruppgifter med stöd av fördraget mellan Konungariket Belgien, Förbundsrepubliken Tyskland, Konungariket Spanien, Republiken Frankrike, Storhertigdömet Luxemburg, Konungariket Nederländerna och Republiken Österrike om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism, gränsöverskridande brottslighet och olaglig migration (FördrS 53 och 54/2007), nedan Prümfördraget, och med stöd av rådets beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, nedan Prümrådsbeslutet, tillämpas artiklarna 3, 9 och 12 i Prümrådsbeslutet. 
Utöver vad som föreskrivs i artiklarna 5, 10 och 14 i Prümrådsbeslutet ska 25 § i denna lag tillämpas på utlämnande av personuppgifter efter den uppgift om en träff som avses i 1 mom. 
31 § Övrigt utlämnande av personuppgifter till utlandet 
Polisen får trots sekretessbestämmelserna lämna ut personuppgifter med iakttagande av bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål. 
Polisen får trots sekretessbestämmelserna 
1) till de behöriga myndigheter som avses i internationella avtal eller andra arrangemang som gäller återtagande av personer som olagligen kommit in och vistas i landet lämna ut personuppgifter för utförande av de uppgifter som avses i de internationella avtalen eller arrangemangen, 
2) till de myndigheter som ansvarar för vapentillsynen i en annan stat lämna ut personuppgifter om förvärv, innehav, överföring, införsel och utförsel av skjutvapen, vapendelar, patroner och särskilt farliga projektiler, om det med tanke på vapentillsynen är nödvändigt att lämna ut uppgifterna. 
Biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort och passlagen får lämnas ut endast för de ändamål som anges i 14 § 2 mom. 
De uppgifter som avses i denna paragraf får lämnas ut också som en datamängd. 
32 § Beslut om utlämnande av uppgifter 
Beslut om rätten att lämna ut uppgifter ur polisens personregister genom en teknisk anslutning eller som en datamängd samt om rätten för myndigheter som avses i 3 kap. att lämna ut uppgifter till polisens informationssystem genom en teknisk anslutning eller som en datamängd fattas av den personuppgiftsansvarige eller av en annan polisenhet som den personuppgiftsansvarige har förordnat till uppgiften. 
När beslut om utlämnande fattas ska uppgifternas art beaktas för att den registrerades integritetsskydd och datasäkerheten ska kunna tryggas. 
5 kap. 
Radering och arkivering av personuppgifter 
33 § Radering av personuppgifter som anknyter till brottmål 
Uppgifterna i ett brottmål som överförts till en åklagare för avgörande ska raderas 
1) 5 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till böter eller ett fängelsestraff på högst ett år, 
2) 10 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till ett fängelsestraff på över ett och högst fem år,  
3) 20 år efter det att brottmålet överfördes till åklagaren, om det grövsta misstänkta brottet i brottmålet kan leda till fängelse i över fem år. 
De uppgifter som avses i 1 mom. raderas dock tidigast ett år efter det att åtalsrätten för brottet har preskriberats. 
Uppgifterna i övriga brottmål än de som avses i 1 mom. ska raderas ett år efter det att åtalsrätten för det sista misstänkta brottet preskriberats, dock tidigast 5 år efter det att brottmålet registrerades. 
Signalementsuppgifter som behövs för fastställande av identiteten ska raderas senast 10 år efter det att den sista uppgiften om en person misstänkt för brott infördes. Uppgifterna ska dock raderas senast 10 år efter den registrerades död, om det strängaste föreskrivna straffet för det grövsta brott som använts som grund för registrering är fängelse i minst ett år. 
Signalementsuppgifterna för en person som var under 15 år när brottet begicks raderas dock senast 5 år från det att den sista uppgiften om den för brott misstänkta personen infördes, om inte någon av uppgifterna gäller ett brott för vilket inte föreskrivs någon annan påföljd än fängelse. 
De uppgifter som avses i 4 och 5 mom. raderas senast ett år från det att uppgiften infördes, om det vid utredningen har framgått att inget brott har begåtts eller att det inte längre finns skäl att misstänka personen för brott. 
De i 1—5 mom. avsedda personuppgifter som anknyter till brottmål får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
Logguppgifterna och övervakningsuppgifterna om sådan behandling av uppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet lagras och raderas med iakttagande av bestämmelserna i artikel 39.4 och 39.5 i Prümfördraget och artikel 30.4 och 30.5 i Prümrådsbeslutet. 
34 § Radering av andra personuppgifter som behandlas i undersöknings- och övervakningsuppgifter 
Andra personuppgifter som behandlas för undersöknings- och övervakningsuppgifter än de uppgifter som avses i 33 § ska raderas 5 år efter det att anmälan eller ärendet registrerades, om inte de hänför sig till ett brottmål som utreds. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifter om näringsförbud raderas 5 år efter det att näringsförbudet upphörde, 
2) uppgifter om besöksförbud och uppgifter som gäller sådana skyddsåtgärder som avses i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor raderas 5 år efter det att besöksförbudet upphörde eller skyddsåtgärden meddelades, 
3) uppgifter om övervakad frihet på prov eller övervakningsstraff raderas 5 år efter det att den övervakade friheten på prov upphörde eller övervakningsstraffet avtjänats, 
4) andra uppgifter om efterlysning, reseförbud, djurhållningsförbud, jaktförbud, nationellt inreseförbud, samhällspåföljd eller villkorlig frigivning som behandlas för att personer ska kunna påträffas, övervakas, observeras och skyddas raderas 3 år efter det att efterlysningen eller förbudet upphörde, 
5) personuppgifter som behandlas för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas tidigast 5 år efter det att den försvunna påträffades eller en okänd avliden identifierades; sådana uppgifter om nära släktingar som behövs för att personer som anmälts försvunna ska kunna hittas och för att okända avlidna ska kunna identifieras raderas dock på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen, 
6) signalementsuppgifter och uppgifter om resedokument som behandlas för utförande av de uppgifter som föreskrivs i 131 § i utlänningslagen raderas 10 år efter det att den sista anteckningen om den registrerade infördes; om en registrerad har beviljats finskt medborgarskap ska uppgifterna dock raderas ett år efter det att den personuppgiftsansvarige fått kännedom om medborgarskapet. 
De uppgifter som avses i 2 mom. 6 punkten och 6 § 1 mom. 3 punkten raderas dock senast ett år efter den registrerades död. 
De i 1—3 mom. avsedda personuppgifterna får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning, eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
35 § Radering av personuppgifter som anknyter till förbyggande eller avslöjande av brott 
Personuppgifter i anknytning till förebyggande och avslöjande av brott ska raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. Uppgifter som avses i 7 § 5 mom. ska dock raderas senast sex månader från det att anteckningen infördes och uppgifter som avses i 8 § 1 mom. 4 punkten senast ett år efter den registrerades död. 
Personuppgifter som avses i 1 mom. får dock fortfarande bevaras, om de behövs med tanke på utredning eller övervakning eller av någon annan grundad anledning eller för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
36 § Radering av uppgifter om informationskällor 
Uppgifter om en informationskälla ska raderas senast 10 år från det att den sista uppgiften infördes. 
37 § Radering av personuppgifter som behandlas för kvalitetssäkring av DNA-prov 
Personuppgifter som behandlas för kvalitetssäkring av DNA-prov ska raderas på den registrerades begäran eller genast när uppgifterna inte längre behövs med tanke på ändamålet med behandlingen. 
Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst varje år. 
38 § Radering av personuppgifter som behandlas i polisens övriga lagstadgade uppgifter 
Personuppgifter som behandlas för utförande av tillståndsförvaltnings- och tillsynsuppgifter ska raderas senast 20 år från det att beslutet fattades eller förföll eller den i beslutet angivna giltighetstiden gick ut eller personuppgiften infördes. 
Med avvikelse från vad som anges i 1 mom. ska 
1) uppgifterna i en skjutvapenanmälan enligt skjutvapenlagen raderas senast 3 år från det att uppgiften infördes, 
2) personuppgifter som behandlas med stöd av 42 c § i skjutvapenlagen raderas 30 år efter det att föremålet förstördes; uppgifterna får dock behandlas för de ändamål som föreskrivs i 11 § i endast 10 år efter det att föremålet förstördes, 
3) personuppgifter som anknyter till hittegodsverksamhet raderas senast ett år från det att uppgiften infördes, 
4) personuppgifter som ingår i sådana rapporter om misstanke om överträdelser som avses i 7 kap. 9 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism raderas i enlighet med 2 mom. i den paragrafen samt övriga personuppgifter som anknyter till tillsyn enligt det kapitlet senast 5 år från det att anteckningen infördes, 
5) uppgifter om administrativa påföljder raderas senast 5 år från det att anteckningen infördes, 
6) personuppgifter som ska behandlas för övervakning enligt lotterilagen eller lagen om förhindrande av penningtvätt och av finansiering av terrorism och som gäller kunder hos en i de lagarna avsedd penningspelssammanslutning, näringsidkare eller sammanslutning som ska övervakas raderas genast när de inte längre behövs för tillsynsuppdraget. 
Personuppgifter som avses i 1 mom. och 2 mom. 1 punkten ska dock raderas senast ett år efter den registrerades död, om det inte finns särskilda skäl att fortfarande bevara dem. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
39 § Uppgifter som konstaterats vara felaktiga 
Oberoende av vad som i dataskyddslagen avseende brottmål och i dataskyddsförordningen föreskrivs om rättelse av oriktiga uppgifter, får en uppgift som konstaterats vara felaktig bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till polispersonalen har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som har konstaterats vara felaktig får dock inte bevaras i det nationella systemet inom Schengens informationssystem. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
40 § Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt. 
6 kap. 
De registrerades rättigheter 
41 § Tillgodoseende av den registrerades rätt till insyn 
I syfte att tillgodose den registrerades rätt till insyn enligt 23 § i dataskyddslagen avseende brottmål och den registrerades rätt till tillgång till uppgifter enligt artikel 15 i dataskyddsförordningen lämnar den personuppgiftsansvarige ut de behövliga personuppgifterna och andra uppgifter för utövande av insyn, om inte den personuppgiftsansvarige har förordnat någon annan polisenhet att lämna ut uppgifterna. 
En registrerad som vill utöva sin rätt till insyn ska framställa en personlig begäran om detta till den personuppgiftsansvarige eller någon annan i 1 mom. avsedd polisenhet samt styrka sin identitet. En begäran kan också framställas genom att använda sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster HYPERLINK "https://www.finlex.fi/fi/laki/ajantasa/2009/20090617%20" \o "Ajantasainen säädös" (617/2009), om en sådan tjänst används. 
42 § Inskränkningar i rätten till insyn 
Med avvikelse från 23 § i dataskyddslagen avseende brottmål gäller rätten till insyn inte 
1) personuppgifter som avses i 5 § 3 mom., 7 § 6 mom. och 9 §, 
2) personuppgifter som gäller hemlig övervakning och särskild kontroll i Schengens informationssystem, 
3) sådana uppgifter om polisens taktiska eller tekniska metoder, observationsuppgifter, uppgifter om informationskällor eller uppgifter som används för teknisk undersökning, som ingår i de personuppgifter som avses i 5—8 §, 
4) personuppgifter som erhållits genom de inhämtningsmetoder som avses i 5 kap. i polislagen och 10 kap. i tvångsmedelslagen samt med stöd av 157 § i lagen om tjänster inom elektronisk kommunikation, 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
43 § Utövande av rätten till insyn i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem 
Utöver vad som föreskrivs i 41 § har var och en rätt att begära att den tillsynsmyndighet som avses i artikel 115 i tillämpningskonventionen till Schengenavtalet om gradvis avskaffande av kontroller vid de gemensamma gränserna (FördrS 23/2001) kontrollerar att insamlingen, registreringen, behandlingen och användningen av personuppgifter som gäller honom eller henne i den datafil som upprätthålls av den tekniska stödfunktionen i Schengens informationssystem sker på ett lagligt och riktigt sätt. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
44 § Utövande av rätten till insyn i fråga om behandlingen av personuppgifter som grundar sig på Prümfördraget och Prümrådsbeslutet 
Utöver vad som föreskrivs i 42 § har var och en rätt att begära att dataombudsmannen kontrollerar att den behandling av personuppgifter om honom eller henne som grundar sig på Prümfördraget och Prümrådsbeslutet är lagenlig. En begäran om detta ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran om kontroll som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
45 § Den registrerades rätt till begränsning av behandling 
Vad som i artikel 18 i dataskyddsförordningen föreskrivs som den registrerades rätt till begränsning av behandling ska inte tillämpas på sådan behandling av personuppgifter som avses i denna lag. 
7 kap. 
Behandling av personuppgifter vid skyddspolisen 
46 § Tillämpningsområde 
Detta kapitel innehåller bestämmelser om behandlingen av sådana personuppgifter enligt 1 § 1 mom. som behövs för skötseln av skyddspolisens uppgifter enligt 10 § i polisförvaltningslagen (110/1992). 
På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter som avses i 1 mom. tillämpas dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap., i den lagen, om inte något annat föreskrivs i detta kapitel. 
På sekretess för personuppgifter tillämpas lagen om offentlighet i myndigheternas verksamhet, om inte något annat föreskrivs i detta kapitel. 
47 § Personuppgiftsansvarig 
Skyddspolisen är personuppgiftsansvarig för de personuppgifter som avses i detta kapitel. 
48 § Behandling av personuppgifter vid skyddspolisen 
Skyddspolisen får behandla personuppgifter som behövs för att skydda den nationella säkerheten samt för att förhindra, avslöja och utreda verksamhet, förehavanden och brott som hotar stats- och samhällsordningen eller statens säkerhet. 
Skyddspolisen får behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med användningen enligt 1 mom. Huruvida uppgifterna är av betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. 
I fråga om personuppgifter som behandlas med avseende på säkerhetsutredningar gäller vad som föreskrivs särskilt. 
49 § Behandling av grundläggande personuppgifter 
Skyddspolisen får behandla följande behövliga grundläggande personuppgifter: 
1) personbeteckning och födelsetid, 
2) identifikationsuppgifter som grundar sig på personens fysiska egenskaper samt ljud- och bildupptagningar, 
3) andra än i 1 och 2 punkten avsedda identifikationsuppgifter, 
4) uppgifter om medborgarskap och familjeförhållanden, 
5) uppgifter om bosättningsort, 
6) uppgifter om utbildning och yrke samt arbetslivserfarenhet och tidigare anställningar, 
7) kontaktuppgifter, 
8) uppgifter om resande, 
9) uppgift om att personen avlidit eller förklarats död, 
10) identifikationsuppgifter som kan kopplas till en juridisk eller fysisk person, 
11) uppgifter om en juridisk person, 
12) uppgifter som gäller en persons verksamhet och beteende. 
Skyddspolisen får dessutom behandla sådana uppgifter som hör till särskilda kategorier av personuppgifter som är nödvändiga för att skyddspolisen ska kunna utföra sina uppgifter. 
50 § Utlämnande av personuppgifter 
Skyddspolisen får, för att sköta sina uppgifter, trots sekretessbestämmelserna lämna ut personuppgifter till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter. 
Skyddspolisen får dessutom trots sekretessbestämmelserna lämna ut personuppgifter till andra polisenheter för de ändamål med behandlingen som avses i 13 § samt till andra myndigheter eller sammanslutningar som sköter offentliga uppgifter för de ändamål med behandlingen som avses i 4 kap. 
Skyddspolisen får registrera personuppgifter som avses i 1 och 2 mom. i polisens personregister i enlighet med 17 §. 
Skyddspolisen får trots sekretessbestämmelserna lämna ut personuppgifter till privata sammanslutningar och personer, om det är nödvändigt för att skyddspolisen ska kunna utföra sina uppgifter. 
51 § Utlämnande av personuppgifter i internationellt samarbete 
Skyddspolisen får trots sekretessbestämmelserna lämna ut personuppgifter till utländska säkerhets- och underrättelsetjänster och till utländska myndigheter som har till uppgift att skydda den nationella säkerheten, trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet eller att förebygga och utreda brott och föra brott till åtalsprövning samt till Internationella kriminalpolisorganisationen (Interpol) och Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), om utlämnandet är nödvändigt för att skyddspolisen ska kunna utföra sina uppdrag. 
Skyddspolisen får trots sekretessbestämmelserna lämna ut i 1 mom. avsedda uppgifter till de aktörer som avses i det momentet också om uppgifterna är nödvändiga för att de utländska myndigheterna i fråga ska kunna utföra sina uppdrag. 
Skyddspolisen får lämna ut personuppgifter till internationella datasystem i enlighet med 26—29 §. 
När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Vidare ska hänsyn tas till nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter. 
Personuppgifter som hör till särskilda kategorier av personuppgifter får inte lämnas ut i stor omfattning. 
Till personuppgifter som lämnas ut ska det vid behov fogas villkor för ändamålet med uppgifterna och vidarelämnande av dem. 
52 § Rätt att få uppgifter 
Skyddspolisen har rätt att få sådana uppgifter som behandlas med stöd av 2 kap., om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. 
Skyddspolisen har för utförandet av sina uppgifter rätt att få sådana uppgifter som avses i 3 kap. på det sätt som föreskrivs i det kapitlet. Skyddspolisen har rätt att förelägga vite i enlighet med 19 §. 
Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. 
53 § Behandling av personuppgifter som erhållits i internationellt samarbete 
Vid behandlingen av personuppgifter som erhållits från utländska säkerhets- och underrättelsetjänster ska i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidarelämnande av uppgifter eller återsändande av utlämnat material iakttas vad som anges i de villkor som den som lämnat ut uppgifterna ställt. 
54 § Skyddspolisens rätt att upprätthålla sitt personregister 
Om en personuppgiftsansvarig enligt någon annan lag har rätt att ur sitt personregister lämna ut personuppgifter till polisen genom en teknisk anslutning eller som en datamängd trots sekretessbestämmelserna, får skyddspolisen för att upprätthålla sitt informationssystem jämföra uppgifterna i personregistret i fråga med innehållet i sina registrerade personuppgifter. Onödiga uppgifter ska raderas utan dröjsmål efter det att jämförelsen har gjorts. Onödiga personuppgifter får inte registreras. 
Om det föreskrivs att den nationella säkerheten är det ursprungliga ändamålet med behandlingen av uppgifterna eller att den nationella säkerheten är ett annat ändamål än det ursprungliga, har skyddspolisen dessutom trots sekretessbestämmelserna rätt att i sitt informationssystem jämföra en datamängd insamlad från ett annat informationssystem, om förfarandet är nödvändigt för att göra behandlingen av uppgifter möjlig i ett informationssystem med hög informationssäkerhetsnivå. Datamängden ska förstöras utan dröjsmål efter att behovet av jämförelse har upphört. De uppgifter som insamlas för jämförelsen ska hållas åtskilda från övriga uppgifter som skyddspolisen behandlar. 
Skyddspolisen har rätt att få uppgifterna avgiftsfritt, om inte något annat föreskrivs i lag. 
55 § Behandling av personuppgifter för annat ändamål än det ursprungliga 
Utöver vad som föreskrivs i 5 § 3 mom. i dataskyddslagen avseende brottmål får uppgifter i skyddspolisens informationssystem trots sekretessbestämmelserna behandlas även för laglighetsövervakning, planering och utveckling. Uppgifterna får dessutom användas för utbildning, om de är nödvändiga för att utbildningen ska kunna genomföras. 
56 § Inskränkningar i rätten till insyn 
Rätt till insyn föreligger inte alls i fråga om de personuppgifter som skyddspolisen behandlar med stöd av detta kapitel. 
Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål. En begäran om utövning av rättigheterna ska lämnas till dataombudsmannen eller till polisen i enlighet med 41 § 2 mom. i denna lag. En begäran som lämnats till polisen ska utan dröjsmål sändas till dataombudsmannen. 
57 § Radering av uppgifter 
Sådana uppgifter om personer som har registrerats med stöd av 48 § ska raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. Behovet av fortsatt bevarande av personuppgifterna ska bedömas minst vart femte år. 
58 § Uppgifter som konstaterats vara felaktiga 
En uppgift som konstaterats vara felaktig får bevaras tillsammans med den korrigerade uppgiften, om det behövs för att trygga de rättigheter som den registrerade, någon annan part eller en person som hör till skyddspolisens personal har. En sådan uppgift får användas endast i det syfte som här avses. 
En uppgift som konstaterats vara felaktig och som bevaras med stöd av 1 mom. ska raderas genast när den inte längre behövs för att trygga rättigheterna. 
59 § Arkivering av uppgifter 
Bestämmelser om arkivfunktionens uppgifter och om handlingar som ska arkiveras utfärdas särskilt. 
8 kap. 
Särskilda bestämmelser 
60 § Personuppgiftsansvarig 
Personuppgiftsansvarig för de personuppgifter som avses i 2 kap. och det nationella systemet inom Schengens informationssystem är Polisstyrelsen. 
61 § Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om behandling av personuppgifter i polisens verksamhet (761/2003), nedan den upphävda lagen
På radering av personuppgifter som avses i denna lag får de bestämmelser som gällde vid ikraftträdandet av denna lag tillämpas i fyra år från ikraftträdandet av lagen. Under denna övergångstid ska på radering av personuppgifter som avses i 7, 8, 11 och 12 § tillämpas den upphävda lagens 23, 24 och 26 § i den lydelse paragraferna hade vid ikraftträdandet av denna lag. På radering av personuppgifter som avses i 5 och 6 § tillämpas under denna tid den upphävda lagens 22 §, sådan den lyder delvis ändrad i lagarna 529/2005 och 851/2006. 
 Slut på lagförslaget 

2. Lag om ändring av 113 § i skjutvapenlagen 

I enlighet med riksdagens beslut 
ändras i skjutvapenlagen (1/1998) 113 § 2 mom., sådant det lyder i lag 623/2017, som följer: 
113 § Polisens skyldighet att föra register 
Kläm 
De register som avses i 1 mom. är sekretessbelagda. Sekretessbelagda är också tillståndsansökningar som gäller skjutvapen, vapendelar, patroner eller särskilt farliga projektiler samt ansökningar om förhandssamtycke, samtycke och godkännande som vapensamlare samt beslut i en sådan sak. Polisen kan dock av särskilda skäl genom beslut bekräfta giltigheten för eller en uppgift i ett enskilt tillstånd, om identiteten för den som begär informationen är känd för polisen. Närmare bestämmelser om registerföringen samt användningen, utlämnandet och raderingen av uppgifter ur registren finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av 42 b § i lotterilagen 

I enlighet med riksdagens beslut 
ändras i lotterilagen (1047/2001) 42 b § 2 mom., sådant det lyder i lag 1184/2013, som följer: 
42 b § Tillsynsregister över lotterier 
Kläm 
Bestämmelser om behandlingen av personuppgifter i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet 

I enlighet med riksdagens beslut 
ändras i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och om tillämpning av rambeslutet (26/2009) 3 §, 5 § 2 och 3 mom. samt 6 § 2 och 3 mom., 
sådana de lyder, 3 § i lagarna 1180/2013 och 649/2015, 5 § 2 mom. och 6 § 2 mom. i lag 312/2016 samt 5 § 3 mom. och 6 § 3 mom. i lag 649/2015, som följer: 
3 § Definition av information och underrättelser 
I denna lag avses med information och underrättelser 
1) uppgifter som avses i 2 kap. i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) uppgifter i Tullens personregister enligt 2 kap. i lagen om behandling av personuppgifter inom Tullen (639/2015), 
3) uppgifter i de personregister som avses i 3, 4 och 7—12 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), 
4) uppgifter som annars med stöd av 4 kap. 2 och 3 § samt 5 kap. 40—42 § i polislagen (872/2011), 16 § i lagen om behandling av personuppgifter i polisens verksamhet, 2 kap. 14 § i lagen om brottsbekämpning inom Tullen (623/2015), 17, 18 och 22 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet eller någon annan lag eller ett avtal innehas av polisen, Tullen eller Gränsbevakningsväsendet eller som är tillgängliga för dem utan att de vidtar tvångsåtgärder. 
5 § Utlämnande av information och underrättelser på begäran 
Kläm 
Information och underrättelser lämnas ut under de förutsättningar som anges i 25 § i lagen om behandling av personuppgifter i polisens verksamhet, 17 § i lagen om behandling av personuppgifter inom Tullen och 26—28 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 32 § i lagen om behandling av personuppgifter i polisens verksamhet, 18 § i lagen om behandling av personuppgifter inom Tullen, 29 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt någon annanstans i lag. 
6 § Utlämnande av information och underrättelser på eget initiativ 
Kläm 
Information och underrättelser lämnas ut under de förutsättningar som anges i 25 § i lagen om behandling av personuppgifter i polisens verksamhet, 17 § i lagen om behandling av personuppgifter inom Tullen och 26—28 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet. 
På beslutsfattande som gäller utlämnande av information och underrättelser tillämpas vad som föreskrivs i 32 § i lagen om behandling av personuppgifter i polisens verksamhet, 18 § i lagen om behandling av personuppgifter inom Tullen, 29 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet samt någon annanstans i lag. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av 10 § i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust 

I enlighet med riksdagens beslut 
ändras i lagen om genomförande av vissa bestämmelser i beslutet om Eurojust (742/2010) 10 § 2 mom., sådant det lyder i lag 648/2015, som följer: 
10 § Utlämnande av personuppgifter till Eurojust 
Kläm 
Vid utlämnande av uppgifter till Eurojust ur polisens, Gränsbevakningsväsendets och Tullens personregister tillämpas 25 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 38 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), 26 § i lagen om behandling av personuppgifter inom Tullen (639/2015) och 30 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi 

I enlighet med riksdagens beslut 
ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 2 mom., sådant det lyder i lag 645/2015, som följer: 
12 § Behandling av personuppgifter och rätt till insyn 
Kläm 
En registrerad har dock inte rätt till insyn i de uppgifter som avses i 42 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ) och i 42 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005) och inte heller i uppgifter i de register som nämns i 29 § i lagen om behandling av personuppgifter inom Tullen (639/2015). 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 17 och 31 § i lagen om identitetskort 

I enlighet med riksdagens beslut 
ändras i lagen om identitetskort (663/2016) 17 § 5 mom. och 31 § som följer: 
17 § Förvägrande av identitetskort och identitetskort utan rätt att resa 
Kläm 
Uppgift om utfärdande av ett sådant identitetskort som avses i 3 mom. antecknas i polisens personregister. 
31 § Identitetskortsregister 
För utförande av de uppgifter som enligt denna lag ankommer på polisen och finska beskickningar ska polisen föra ett identitetskortsregister där det förs in 
1) de behövliga grundläggande personuppgifter som avses i 4 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ),  
2) uppgifter om ansökningar, beslut, tillstånd, polisens och finska beskickningars åtgärder, hinder, anmärkningar och anmälningar som gäller identitetskort, 
3) de fotografier av personer och namnteckningsprov, som personerna lämnat till polisen, utrikesministeriet eller en myndighet inom utrikesförvaltningen vid ansökan om identitetskort. 
Bestämmelser om användning av uppgifterna i registret finns i 11—15 § i lagen om behandling av personuppgifter i polisens verksamhet. Bestämmelser om utlämnande och radering av uppgifter finns i 4 kap. och i 38 § i den lagen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av 17 och 19 § i lagen om nödcentralsverksamhet 

I enlighet med riksdagens beslut 
upphävs i lagen om nödcentralsverksamhet (692/2010) 19 § 1 mom. 11 punkten, sådan den lyder i lag 1172/2016, och 
ändras 17 § 4 mom. och 19 § 1 mom. 1 punkten, sådana de lyder i lag 1172/2016, som följer: 
17 § Information som ska lagras i nödcentralsdatasystemet 
Kläm 
Bestämmelser om registrerades rätt att ta del av information som polisen lagrat i nödcentralsdatasystemet finns i 4 kap. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) och i 6 kap. i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
19 § Rätt att få information ur registren 
Nödcentralsverket och dess anställda har enligt vad som överenskommits med registerföraren och trots sekretessbestämmelserna, för att kunna sköta Nödcentralsverkets lagstadgade uppgifter, rätt att avgiftsfritt få information som behövs för att säkerställa förberedande åtgärder i samband med uppdrag eller arbetarskyddet eller för att stödja myndigheten eller enheten i fråga. I detta syfte har Nödcentralsverket och dess anställda rätt att 
1) få sådan information ur polisens informationssystem som avses i 5, 6, 11 och 12 § i lagen om behandling av personuppgifter i polisens verksamhet samt information ur det i 3 § 3 punkten i den lagen avsedda nationella systemet inom Schengens informationssystem, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

9. Lag om ändring av 6 § i lagen om kontrollavgift i kollektivtrafik 

I enlighet med riksdagens beslut 
ändras i lagen om kontrollavgift i kollektivtrafik (469/1979) 6 § 5 mom., sådant det lyder i lag 448/2006, som följer: 
6 § Biljettkontrollörer 
Kläm 
Polisen för en förteckning över beslut om godkännanden som kontrollör och återkallande av godkännanden. Bestämmelser om behandlingen av personuppgifter finns dessutom i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

10. Lag om ändring av 15 § i lagen om besöksförbud 

I enlighet med riksdagens beslut 
ändras i lagen om besöksförbud (898/1998) 15 §, sådan den lyder i lag 711/2004, som följer: 
15 § Registrering av besöksförbud 
Bestämmelser om behandlingen av uppgifter om besöksförbud i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

11. Lag om ändring av 9 kap. 4 § och 10 kap. 62 § i tvångsmedelslagen 

I enlighet med riksdagens beslut 
ändras i tvångsmedelslagen (806/2011) 9 kap. 4 § 3 mom. och 10 kap. 62 § 1 mom., av dem 9 kap. 4 § 3 mom. sådant det lyder i lag 101/2018, som följer: 
9 kap. 
Tvångsmedel i samband med särskilda undersökningsmetoder 
4 § Bestämning och registrering av DNA-profiler 
Kläm 
För utförande av uppgifter som anges i 1 § 1 mom. i polislagen får DNA-profiler registreras i polisens personregister. DNA-profiler som innehåller uppgifter om den registrerades andra personliga egenskaper än kön får dock inte registreras. Bestämmelser om utplåning av DNA-profiler ur registret finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
10 kap. 
Hemliga tvångsmedel 
62 § Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användning av tvångsmedel enligt detta kapitel förrän en underrättelse enligt 60 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

12. Lag om ändring av 49 § i lagen om Polisyrkeshögskolan 

I enlighet med riksdagens beslut 
ändras i lagen om Polisyrkeshögskolan (1164/2013) 49 § som följer: 
49 § Behandling av känslig information 
I ärenden som gäller antagning av studerande, disciplin, avbrytande av studierna och indragning av studierätten har Polisyrkeshögskolan rätt att behandla personuppgifter som rör hälsotillstånd och domar i brottmål samt överträdelser. I samband med ett disciplinärende får dock inte uppgifter som gäller den studerandes hälsotillstånd behandlas. 
Polisyrkeshögskolan ska förvara den känsliga informationen separat från övriga personuppgifter. Den känsliga informationen ska avföras ur registret omedelbart när skötseln av lagstadgade uppgifter inte längre förutsätter att informationen bevaras, dock senast inom sex år från det att informationen fördes in i registret. 
Polisyrkeshögskolan ska bestämma vilka tjänstemän som har rätt att i sina arbetsuppgifter behandla i 1 mom. avsedda känsliga uppgifter. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

13. Lag om ändring av 5 kap. 41 och 60 § i polislagen 

I enlighet med riksdagens beslut 
ändras i polislagen (872/2011) 5 kap. 41 § 1 mom. och 60 § 1 mom. som följer: 
5 kap. 
Hemliga metoder för inhämtande av information 
41 § Behandling av uppgifter om en informationskälla och betalning av arvode 
Uppgifter om en informationskälla får registreras i ett personregister. Bestämmelser om behandlingen av uppgifterna finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Kläm 
60 § Begränsning av partsoffentlighet i vissa fall 
Med avvikelse från vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) har den vars rättigheter eller skyldigheter saken gäller inte rätt att få vetskap om användningen av en metod för inhämtande av information enligt detta kapitel förrän en underrättelse enligt 58 § har gjorts. Han eller hon har inte heller rätt till insyn för registrerade enligt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

14. Lag om ändring av lagen om behandlingen av personer i förvar hos polisen 

I enlighet med riksdagens beslut 
ändras i lagen om behandlingen av personer i förvar hos polisen (841/2006) 1 kap. 7 § 5 mom., 2 kap. 4 § 2 mom. och 7 kap. 5 § 5 mom., av dem 1 kap. 7 § 5 mom. sådant det lyder i lag 1086/2015, som följer: 
1 kap. 
Allmänna bestämmelser 
7 § Ställningen för en väktare som är anställd av en innehavare av näringstillstånd inom säkerhetsbranschen 
Kläm 
En väktare som avses i denna paragraf har inte användarrättigheter till sådana personregister hos polisen, på vilka lagen om behandling av personuppgifter i polisens verksamhet ( / ) tillämpas, och inte heller till andra register eller informationssystem som har upprättats för myndighetsändamål. 
2 kap. 
Intagning i förvaringslokal 
4 § Ankomstgranskning och registrering av uppgifter 
Kläm 
Bestämmelser om registrering av uppgifter om frihetsberövade som intagits i en förvaringslokal finns i lagen om behandling av personuppgifter i polisens verksamhet. 
7 kap. 
Besök och andra kontakter utanför förvaringslokalen 
5 § Besöksförbud 
Kläm 
Bestämmelser om behandlingen av uppgifter om besöksförbud i polisens personregister finns i lagen om behandling av personuppgifter i polisens verksamhet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

15. Lag om ändring av 6 § i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet 

I enlighet med riksdagens beslut 
ändras i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet (687/2009) 6 §, sådan den lyder delvis ändrad i lag 642/2015, som följer: 
6 § Behandlingen av uppgifter vid PTG-kriminalunderrättelseenheterna 
Bestämmelser om behandlingen av personuppgifter vid PTG-kriminalunderrättelseenheterna finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ), lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ( / ) och lagen om behandling av personuppgifter inom Tullen ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

16. Lag om ändring av 29 § i passlagen 

I enlighet med riksdagens beslut 
ändras i passlagen (671/2006) 29 § 1 och 2 mom., sådana de lyder i lag 456/2009, som följer: 
29 § Passregister 
För utförande av de uppgifter som enligt denna lag ankommer på polisen, utrikesministeriet och en sådan finsk beskickning som avses i 10 § ska polisen föra ett register där det förs in 
1) de behövliga grundläggande personuppgifter som avses i 4 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
2) uppgifter om passansökningar och beslut i passärenden, om pass och andra resehandlingar som har utfärdats av en finsk myndighet, om pass som har förkommit, blivit stulna eller tillvaratagits samt om hinder för utfärdande av pass och anmärkningar som hänför sig till passärenden, 
3) fingeravtryck som enligt 6 a § tagits av sökanden vid ansökan om pass, 
4) de fotografier av personer och namnteckningsprov, som personerna lämnat till polisen, utrikesministeriet eller till en myndighet inom utrikesförvaltningen vid ansökan om pass. 
Bestämmelser om användning av uppgifterna i registret finns i 11—15 § lagen om behandling av personuppgifter i polisens verksamhet. Bestämmelser om utlämnande och radering av uppgifter finns i 4 kap. och i 38 § i den lagen. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

17. Lag om ändring av 27 § i lagen om penninginsamlingar 

I enlighet med riksdagens beslut 
ändras i lagen om penninginsamlingar (255/2006) 27 § 2 mom. som följer: 
27 § Tillsynsregister över penninginsamlingar 
Kläm 
Bestämmelser om behandlingen av personuppgifter i polisens register finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

18. Lag om ändring av 3 § i lagen om centralen för utredning av penningtvätt 

I enlighet med riksdagens beslut 
ändras i lagen om centralen för utredning av penningtvätt (445/2017) 3 § 9 mom. som följer: 
3 § Registret för förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism 
Kläm 
Bestämmelser om polisens behandling av personuppgifter finns dessutom i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) och i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

19. Lag om ändring av 2 kap. 15 § i lagen om brottsbekämpning inom Tullen 

I enlighet med riksdagens beslut 
ändras i lagen om brottsbekämpning inom Tullen (623/2015) 2 kap. 15 § 2 mom., sådant det lyder i lag 310/2016, som följer: 
2 kap. 
Tullens befogenheter vid tullbrottsbekämpning 
15 § Identifiering 
Kläm 
Om någon vägrar lämna uppgifter enligt 1 mom. och personen inte kan identifieras på annat sätt, har en tullman inom tullbrottsbekämpningen rätt att utreda identiteten med hjälp av signalement samt med stöd av de uppgifter som avses i lagen om behandling av personuppgifter inom Tullen (639/2015) och i 5, 6, 11 och 12 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ). I sådana situationer ska det som föreskrivs i 8 kap. 33 § 2—4 mom. i tvångsmedelslagen om förrättande av genomsökning av personer iakttas. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

20. Lag om ändring av 19 § i lagen om verkställighet av böter 

I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av böter (672/2002) 19 § 2 mom. som följer: 
19 § Efterlysning 
Kläm 
Efterlysningen omfattar en uppmaning som riktar sig till polismännen och som har förts in i polisens informationssystem. Enligt uppmaningen ska en polisman när den betalningsskyldige påträffas driva in en fordran som avses i 1 mom. eller stämma in den betalningsskyldige till en rättegång för bestämmande av förvandlingsstraff. Efterlysningen ska innehålla de uppgifter som behövs för betalning av fordran och redovisning av prestationen samt orsaken till åtgärden, de begärda åtgärderna, den myndighet som har hand om efterlysningen, preskription av efterlysningen och övriga uppgifter som behövs vid övervakningen av efterlysningar. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

21. Lag om ändring av 13 § i lagen om vittnesskyddsprogram 

I enlighet med riksdagens beslut 
ändras i lagen om vittnesskyddsprogram (88/2015) 13 § 1 och 3 mom. som följer: 
13 § Register över vittnesskyddsprogram 
Centralkriminalpolisen ska för skötseln av sina uppgifter enligt denna lag föra ett register över vittnesskyddsprogram. I registret ska också ingå upptagningar och andra handlingar som uppstått i verksamheten. Om inte något annat föreskrivs i denna lag, tillämpas på sekretess för och utlämnande av i registret införda personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999) samt på annan behandling av personuppgifter lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). 
Kläm 
Utöver vad som föreskrivs i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten kan den registrerades rätt till insyn begränsas, om utövandet av rätten till insyn på sannolika skäl kan leda till ett allvarligt hot mot den skyddades eller någon annans säkerhet. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

22. Lag om ändring av 25 och 32 § i säkerhetsutredningslagen 

I enlighet med riksdagens beslut 
upphävs i säkerhetsutredningslagen (726/2014) 32 § 1 mom. 2 punkten, och 
ändras 25 § 1 mom. 4 punkten och 2 mom. samt 32 § 3 mom. som följer: 
25 § Informationskällor vid normal säkerhetsutredning av person 
En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i 
 En icke ändrad del av lagtexten har utelämnats 
4) polisens personregister som innehåller sådana uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ), 
 En icke ändrad del av lagtexten har utelämnats 
För en normal säkerhetsutredning får användas en anmälan som centralkriminalpolisen gjort utifrån sådana uppgifter om persongrupper i polisens personregister som avses i 7 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Anmälan ska innehålla sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, om 
1) den som utredningen gäller utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen, 
2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott, eller 
3) det i de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet i fråga om den som utredningen gäller finns flera sådana anteckningar som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. 
 En icke ändrad del av lagtexten har utelämnats 
32 § Begränsning av användningen av uppgifter i säkerhetsutredning av person 
Kläm 
Sådana uppgifter om en persons hälsotillstånd som ingår i de uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet, får beaktas när en utredning görs endast om det är nödvändigt för att trygga andras personliga säkerhet och uppgifterna baserar sig på ett läkarintyg eller andra anteckningar av en legitimerad yrkesutbildad person inom hälso- och sjukvården eller på uppgifter som han eller hon lämnat muntligt med stöd av lag, och det inte råder oklarhet om att uppgifterna är korrekta. Vad som föreskrivs ovan i detta moment hindrar inte den behöriga myndigheten från att fästa arbetsgivarens uppmärksamhet på behovet att vidta åtgärder som avses i 17 § 2 mom. 4 punkten i denna lag. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

23. Lag om ändring av 131 § i utlänningslagen 

I enlighet med riksdagens beslut 
ändras i utlänningslagen (301/2004) 131 § 2 och 3 mom., sådana de lyder i lag 631/2011, som följer: 
131 § Upptagande av signalement 
Kläm 
De i 1 mom. avsedda signalementen införs i ett register som polisen för. Uppgifterna ska hållas åtskilda från signalementen för personer som är misstänkta för brott och från de fingeravtryck som i enlighet med 3 b § i lagen om utlänningsregistret (1270/1997) förs in i utlänningsregistret och som tas för ansökan om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för unionsmedborgares familjemedlemmar. Uppgifterna raderas med iakttagande av 34 § i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
Fingeravtrycksuppgifter som avses i 1 mom. får jämföras med fingeravtrycksuppgifter som för de ändamål med behandlingen som föreskrivs i 5 § i lagen om behandling av personuppgifter i polisens verksamhet har registrerats med stöd av denna paragraf samt med fingeravtrycksuppgifter som registrerats i det delregister för ansökningsärenden och delregister för främlingspass och resedokument för flykting som avses i 3 § i lagen om utlänningsregistret, vilka ingår i det utlänningsregister som avses i den lagen. Dessutom får fingeravtrycksuppgifter som förs in i registret för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i signalementsuppgifter enligt tvångsmedelslagen och som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

24. Lag om ändring av lagen om utlänningsregistret 

I enlighet med riksdagens beslut 
ändras i lagen om utlänningsregistret (1270/1997) 3 a § 2 mom., 3 b § 2 och 3 mom. och 4 a §, sådana de lyder, 3 a § 2 mom. i lag 459/2009, 3 b § 2 och 3 mom. i lag 122/2018 samt 4 a § i lag 763/2003, som följer: 
3 a § Användning av fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting 
Kläm 
Rätt att använda fingeravtrycksuppgifterna har endast den som nödvändigtvis behöver dem för skötseln av sina arbetsuppgifter. Fingeravtryck får användas endast för fastställande av identitet och tillverkning av främlingspass eller resedokument för flykting. Polisen har dessutom rätt att använda fingeravtrycksuppgifter med iakttagande av 14 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet ( / ). Den som har rätt att använda uppgifterna har rätt att ta fingeravtryck av en registrerad och jämföra dessa med registrerade fingeravtryck. Uppgifter som tagits för jämförelsen får användas endast när jämförelsen görs och ska därefter förstöras omedelbart.  
3 b § Användning och jämförelse av fingeravtrycksuppgifter i delregistret för ansökningsärenden 
Kläm 
Fingeravtryck som förs in i registret får endast användas för att inom ramen för befogenheter i anknytning till de ändamål som anges i 2 § 2 mom. verifiera autenticiteten av ett uppehållstillståndskort och identiteten hos innehavaren av ett uppehållstillstånd, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet. En myndighet som har rätt att använda uppgifterna har rätt att jämföra dem med tidigare registrerade fingeravtryck i delregistret för ansökningsärenden och med fingeravtrycksuppgifter i delregistret för främlingspass och resedokument för flykting och med fingeravtryck som med stöd av 131 § i utlänningslagen (301/2004) registrerats i polisens register. Dessutom får uppgifter för kontroll av inreseförutsättningarna jämföras med fingeravtryck som ingår i sådana signalementsuppgifter enligt tvångsmedelslagen som avses i 6 § i lagen om behandling av personuppgifter i polisens verksamhet, när de redan registrerade fingeravtrycksuppgifterna har samband med ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst ett år. 
Polisen har dessutom rätt att med iakttagande av 14 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet använda de fingeravtrycksuppgifter som registrerats i delregistret för ansökningsärenden. 
Kläm 
4 a § Den registrerades rättigheter 
I fråga om framställande av en begäran till polisen om tillgodoseende av en registrerads rätt till insyn tillämpas 41 § i lagen om behandling av personuppgifter i polisens verksamhet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

25. Lag om ändring av 9 § i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor 

I enlighet med riksdagens beslut 
ändras i lagen om tillämpning av Europaparlamentets och rådets förordning om ömsesidigt erkännande av skyddsåtgärder i civilrättsliga frågor (227/2015) 9 § som följer: 
9 § Registrering av skyddsåtgärder 
Bestämmelser om registrering av uppgifter om i Finland verkställda skyddsåtgärder som har meddelats i en annan medlemsstat i Europeiska unionen i polisens informationssystem och om radering av uppgifter ur systemet finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

26. Lag om ändring av 86 § i lagen om privata säkerhetstjänster 

I enlighet med riksdagens beslut 
ändras i lagen om privata säkerhetstjänster (1085/2015) 86 § som följer: 
86 § Uppgifter för tillsynen över säkerhetsbranschen 
Polisen förvarar uppgifter om väktare, utbildare i användningen av maktmedel, skytteinstruktörer, ordningsvakter, utförare av säkerhetsskyddsuppgifter, utbildare av ordningsvakter, innehavare av näringstillstånd för säkerhetsbranschen och deras ansvariga föreståndare samt om i 71 § 2 mom. 2 punkten avsedda ansvariga personer. Närmare bestämmelser om behandlingen av dessa uppgifter för tillsynen över säkerhetsbranschen finns i lagen om behandling av personuppgifter i polisens verksamhet ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 22 november 2018 
Statsminister Juha Sipilä 
Inrikesminister Kai Mykkänen